L1 BIO 12.04 ISO A.12.4.1 CIS 5.1.1

Auditlog Bewaartermijnen Configureren In Microsoft 365

šŸ“… 2025-11-26
ā€¢
ā±ļø 12 minuten lezen
ā€¢
šŸ”“ Must-Have

šŸ’¼ Management Samenvatting

Auditlog bewaartermijnen vormen een kritiek onderdeel van de beveiligings- en compliance-inrichting van Microsoft 365 omgevingen. Zonder adequate bewaartermijnen kunnen organisaties niet voldoen aan wettelijke verplichtingen, kunnen incidenten niet volledig worden onderzocht en ontbreekt essentiƫle forensische informatie wanneer deze het hardst nodig is. Voor Nederlandse overheidsorganisaties zijn bewaartermijnen niet alleen een technische instelling, maar een fundamentele randvoorwaarde voor verantwoording, transparantie en aantoonbare naleving van frameworks zoals BIO, AVG en NIS2.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
35u (tech: 20u)
Van toepassing op:
āœ“ M365

De standaard bewaartermijnen voor Microsoft 365 unified audit logs zijn afhankelijk van de licentie: negentig dagen voor E3 licenties en Ć©Ć©n jaar voor E5 licenties. Deze standaardinstellingen zijn echter lang niet altijd voldoende voor de complexe eisen die Nederlandse overheidsorganisaties stellen aan auditlogging. Incidentonderzoeken kunnen maanden duren, externe audits vragen soms toegang tot historische logs van meerdere jaren terug, en wettelijke verplichtingen zoals de Archiefwet kunnen nog langere bewaartermijnen vereisen. Bovendien vereisen verschillende soorten gebeurtenissen verschillende bewaartermijnen: configuratiewijzigingen aan kritieke beveiligingsinstellingen moeten mogelijk langer bewaard worden dan standaard gebruikerstoegang tot documenten. Zonder expliciete configuratie en beheer van bewaartermijnen lopen organisaties het risico dat cruciale logdata verloren gaat voordat deze kan worden gebruikt voor onderzoek of verantwoording, wat direct kan leiden tot niet-naleving van compliance-frameworks, reputatieschade en juridische aansprakelijkheid.

PowerShell Modules Vereist
Primary API: Security & Compliance PowerShell
Connection: Connect-IPPSSession
Required Modules: ExchangeOnlineManagement

Implementatie

Dit artikel beschrijft hoe Nederlandse overheidsorganisaties bewaartermijnen voor auditlogs in Microsoft 365 professioneel configureren, monitoren en beheren. We behandelen de verschillende opties voor het bewaren van auditlogs, inclusief standaard bewaartermijnen in Microsoft 365, verlengde retentie via audit log retention policies, en export naar externe systemen zoals Azure Log Analytics of Microsoft Sentinel voor langetermijnarchivering. Daarnaast gaan we in op de praktische implementatie via het Microsoft Purview complianceportaal en PowerShell, het monitoren van bewaartermijnen en het waarborgen dat configuraties aansluiten bij beleidsafspraken en wettelijke vereisten. Het bijbehorende PowerShell-script `audit-log-retention.ps1` ondersteunt zowel monitoring van huidige bewaartermijnen als verificatie dat ingestelde retentieperiodes voldoen aan minimaal vereiste waarden zoals vastgelegd in het auditlogbeleid van de organisatie.

Vereisten

Een effectieve inrichting van auditlog bewaartermijnen begint bij het vaststellen van de vereisten vanuit verschillende perspectieven. Vanuit governance moet het bestuur of de concerndirectie expliciet bepalen welke bewaartermijnen minimaal nodig zijn voor verschillende categorieƫn auditlogs, rekening houdend met risico's, wettelijke verplichtingen en operationele behoeften. Deze beslissingen worden vastgelegd in het auditlogbeleid en vormen de basis voor alle technische configuraties. Daarbij wordt onderscheid gemaakt tussen verschillende typen gebeurtenissen: kritieke beheerdersacties zoals wijzigingen aan Conditional Access policies of roltoewijzingen vereisen doorgaans langere bewaartermijnen dan standaard gebruikerstoegang tot documenten. Evenzo moeten logs voor hoog-risico accounts en processen, zoals toegang tot gevoelige persoonsgegevens of financiƫle informatie, langer bewaard worden dan generieke activiteiten.

Juridische en compliance-vereisten vormen een tweede belangrijke pijler. De BIO norm 12.04 vereist dat organisaties beveiligingsgebeurtenissen loggen en bewaren voor een periode die passend is bij het risico. De AVG stelt grenzen aan de bewaartermijn van persoonsgegevens in logs, maar vereist tegelijkertijd dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen, wat vaak langere bewaartermijnen noodzakelijk maakt voor forensische doeleinden. De NIS2 richtlijn vereist dat essentiĆ«le en belangrijke entiteiten incidenten kunnen onderzoeken en rapporteren, wat adequate logging en bewaring impliceert. Daarnaast kunnen sectorspecifieke wetgevingen zoals de Archiefwet specifieke bewaartermijnen voorschrijven voor bepaalde categorieĆ«n informatie. Het is essentieel dat deze juridische eisen expliciet worden geĆÆnventariseerd en vertaald naar concrete bewaartermijnen per logcategorie, zodat technische configuraties kunnen worden gerechtvaardigd en verdedigd bij audits of toezichthouders.

Vanuit technisch perspectief zijn specifieke licenties en configuratiemogelijkheden nodig. Microsoft 365 E3 licenties bieden standaard een bewaartermijn van negentig dagen voor unified audit logs, terwijl E5 licenties deze termijn uitbreiden tot ƩƩn jaar. Voor langere bewaartermijnen of meer geavanceerde retentie-opties zijn audit log retention policies nodig, die beschikbaar zijn in Microsoft Purview met de juiste licenties. Deze policies stellen organisaties in staat om specifieke gebeurtenissen, gebruikers of workloads langer te bewaren dan de standaard bewaartermijn. Voor zeer lange bewaartermijnen van meerdere jaren, zoals vereist door sommige compliance-frameworks of wettelijke verplichtingen, is export naar externe systemen zoals Azure Log Analytics of Microsoft Sentinel nodig. Deze export vereist aanvullende configuratie, licentieoverwegingen en beheersprocessen om te waarborgen dat logs correct worden geƫxporteerd, opgeslagen en toegankelijk blijven.

Beheerders die audit log retention policies willen configureren, hebben specifieke rollen nodig zoals Compliance Administrator of Audit Administrator. Deze rollen worden bij voorkeur toegekend via Privileged Identity Management (PIM) met Just-in-Time toegang om misbruikrisico's te beperken. Daarnaast is technische kennis nodig van PowerShell-cmdlets zoals New-AuditLogRetentionPolicy, Get-AuditLogRetentionPolicy en Set-AuditLogRetentionPolicy uit de ExchangeOnlineManagement module. Beheerders moeten kunnen aantonen dat zij begrijpen welke impact verschillende bewaartermijnen hebben op storage-kosten, dat zij weten hoe retentie policies interactie hebben met standaard bewaartermijnen en dat zij processen hebben geĆÆmplementeerd voor het monitoren en beheren van retentie-instellingen over tijd.

Tot slot zijn procesmatige vereisten essentieel. Er moet een formeel proces zijn voor het aanvragen, beoordelen en goedkeuren van wijzigingen aan audit log retention policies, waarbij verschillende stakeholders zoals CISO, Functionaris Gegevensbescherming (FG), juristen en proceseigenaren betrokken zijn. Wijzigingen aan bewaartermijnen hebben immers impact op zowel beveiliging als privacy, en moeten daarom zorgvuldig worden afgewogen. Daarnaast is periodieke evaluatie nodig om te verifiƫren dat geconfigureerde bewaartermijnen nog steeds aansluiten bij actuele risico's, wetgeving en operationele behoeften. Zonder deze governance en processen lopen organisaties het risico dat bewaartermijnen willekeurig worden aangepast, niet worden gedocumenteerd of niet worden gecontroleerd, wat kan leiden tot niet-naleving en operationele problemen wanneer logs ontbreken die essentieel zijn voor incidentonderzoek of verantwoording.

Implementatie

De implementatie van audit log retention in Microsoft 365 begint met een grondige inventarisatie van de huidige situatie. Via PowerShell wordt de huidige configuratie van unified audit logging opgehaald met Get-AdminAuditLogConfig, waarbij specifiek wordt gekeken naar de standaard bewaartermijn die geldt op basis van de licentie. Daarnaast worden alle geconfigureerde audit log retention policies opgehaald met Get-AuditLogRetentionPolicy om te zien welke aanvullende retentie-instellingen actief zijn. Deze inventarisatie wordt vastgelegd in een document dat dient als nulmeting en referentiepunt voor toekomstige audits en wijzigingen. Tijdens deze inventarisatie wordt ook gecontroleerd of er exports zijn geconfigureerd naar externe systemen zoals Azure Log Analytics, en welke bewaartermijnen daar gelden.

Vervolgens wordt de gewenste doelsituatie ontworpen op basis van het auditlogbeleid. Voor verschillende categorieƫn gebeurtenissen worden specifieke bewaartermijnen bepaald, waarbij rekening wordt gehouden met licentiebeperkingen, kostenoverwegingen en technische mogelijkheden. Voor kritieke beheerdersacties zoals wijzigingen aan Conditional Access policies, roltoewijzingen of beveiligingsinstellingen kunnen bijvoorbeeld audit log retention policies worden geconfigureerd die deze gebeurtenissen langer bewaren dan de standaard bewaartermijn. Deze policies worden geconfigureerd via het Microsoft Purview complianceportaal of via PowerShell met behulp van New-AuditLogRetentionPolicy, waarbij specifieke criteria worden opgegeven zoals gebruikers, workloads of activiteitstypen die onder de extended retention vallen.

Voor gebeurtenissen die nog langere bewaartermijnen vereisen dan mogelijk zijn via retention policies binnen Microsoft 365, wordt export geconfigureerd naar Azure Log Analytics of Microsoft Sentinel. Deze export kan worden ingesteld via het Purview-complianceportaal onder Audit log export, waarbij een Log Analytics workspace wordt gekoppeld aan de unified audit log. Eenmaal geconfigureerd worden alle audit logs automatisch geƫxporteerd naar de Log Analytics workspace, waar zij kunnen worden bewaard voor langere perioden zonder de beperkingen van de standaard Microsoft 365 bewaartermijnen. Het is belangrijk dat deze exportconfiguratie wordt gedocumenteerd, inclusief welke workspace wordt gebruikt, welke retentie-instellingen daar gelden, hoe toegang wordt beheerd en welke kosten verbonden zijn aan langetermijnopslag.

Na configuratie van retention policies en eventuele exports wordt de implementatie gevalideerd. Dit gebeurt door te verifiƫren dat retention policies daadwerkelijk actief zijn via Get-AuditLogRetentionPolicy, door te testen of exports correct functioneren door te controleren of logs daadwerkelijk aankomen in de Log Analytics workspace, en door historische logs te analyseren om te bevestigen dat gebeurtenissen die onder extended retention vallen inderdaad langer bewaard worden. Deze validatie wordt vastgelegd in een testrapport dat dient als bewijs dat de configuratie niet alleen theoretisch klopt, maar in de praktijk ook daadwerkelijk de gewenste bewaartermijnen realiseert.

Tot slot wordt automatisering geĆÆmplementeerd voor het monitoren van audit log retention configuraties. Het bijbehorende PowerShell-script `audit-log-retention.ps1` controleert periodiek of de geconfigureerde bewaartermijnen nog steeds voldoen aan minimaal vereiste waarden zoals vastgelegd in het auditlogbeleid. Het script verifieert de status van unified audit logging, controleert welke retention policies actief zijn en welke bewaartermijnen daarbij horen, en rapporteert afwijkingen wanneer geconfigureerde retentieperiodes lager zijn dan beleidsmatig vereist. Door deze automatisering ontstaat een continu borgingsmechanisme dat waarborgt dat bewaartermijnen niet onbedoeld worden aangepast en dat nieuwe vereisten tijdig worden gesignaleerd.

Compliance en Naleving

Auditlog bewaartermijnen zijn een fundamentele vereiste voor naleving van verschillende cybersecurity frameworks en wet- en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. Zonder adequate bewaartermijnen kunnen organisaties niet voldoen aan de vereisten van internationale standaarden zoals CIS, ISO 27001 en sectorspecifieke regelgeving zoals de AVG, NIS2 richtlijn en de Baseline Informatiebeveiliging Overheid (BIO). Deze frameworks vereisen allemaal dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om activiteiten te monitoren en te loggen voor voldoende lange perioden om incidenten te kunnen onderzoeken en verantwoording af te leggen aan toezichthouders.

De Baseline Informatiebeveiliging Overheid (BIO) norm 12.04 vereist dat organisaties gebeurtenissen loggen en audittrails bijhouden voor alle kritieke systemen en processen, waarbij de bewaartermijn moet worden afgestemd op het risico en de wettelijke verplichtingen. De BIO specificeert dat organisaties moeten kunnen aantonen dat zij alle relevante gebeurtenissen loggen, dat deze logs worden bewaard voor de vereiste periode, en dat er processen zijn geĆÆmplementeerd voor het analyseren en reageren op gebeurtenissen. Voor Microsoft 365 omgevingen betekent dit dat unified audit logging moet zijn ingeschakeld, dat bewaartermijnen expliciet zijn vastgelegd in beleid en dat organisaties kunnen aantonen dat geconfigureerde bewaartermijnen voldoen aan de vereisten voor hun risicoprofiel. Het ontbreken van adequate bewaartermijnen of het niet kunnen aantonen dat logs voldoende lang bewaard worden, kan leiden tot niet-naleving van de BIO, wat kan resulteren in negatieve audit findings en reputatieschade.

De ISO 27001 standaard, controle A.12.4.1, vereist eveneens logging van gebeurtenissen en het bijhouden van audittrails voor informatiebeveiligingsdoeleinden, waarbij logs moeten worden bewaard voor een periode die passend is bij wettelijke, operationele en beveiligingseisen. Controle A.12.4.1 specificeert dat organisaties moeten kunnen aantonen dat zij alle relevante gebeurtenissen loggen, dat deze logs worden bewaard voor de vereiste periode, en dat er processen zijn geĆÆmplementeerd voor het analyseren en reageren op gebeurtenissen. Voor Microsoft 365 omgevingen betekent dit dat bewaartermijnen expliciet moeten zijn vastgelegd, dat zij moeten worden afgestemd op risico's en wettelijke vereisten, en dat organisaties periodiek moeten verifiĆ«ren dat geconfigureerde bewaartermijnen nog steeds voldoen aan de eisen. Het niet implementeren van adequate bewaartermijnen of het niet periodiek evalueren van retentie-instellingen kan leiden tot niet-naleving van ISO 27001, wat kan resulteren in het verlies van certificering en reputatieschade.

De Algemene Verordening Gegevensbescherming (AVG), Artikel 32, verplicht organisaties om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen, waarbij logging en monitoring van toegang tot persoonsgegevens een essentieel onderdeel vormt. Artikel 5 van de AVG stelt het beginsel van dataminimalisatie en doelbinding, wat betekent dat persoonsgegevens in logs niet langer mogen worden bewaard dan noodzakelijk is voor het doel waarvoor zij zijn verzameld. Tegelijkertijd vereist Artikel 32 dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen, wat vaak langere bewaartermijnen noodzakelijk maakt voor forensische doeleinden en verantwoording aan toezichthouders. Deze ogenschijnlijke spanning moet worden opgelost door expliciet te bepalen welke bewaartermijnen proportioneel en noodzakelijk zijn voor verschillende typen logs, rekening houdend met het risico, de wettelijke verplichtingen en de privacyrechten van betrokkenen. Voor Microsoft 365 omgevingen betekent dit dat bewaartermijnen moeten worden afgestemd met de Functionaris Gegevensbescherming (FG), dat zij moeten worden vastgelegd in het auditlogbeleid en dat zij periodiek moeten worden geƫvalueerd om te verifiƫren dat zij nog steeds proportioneel zijn. Het niet implementeren van adequate bewaartermijnen of het niet kunnen rechtvaardigen van langere retentieperiodes kan leiden tot niet-naleving van de AVG, wat kan resulteren in boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro.

De NIS2 richtlijn, Artikel 21, stelt specifieke eisen aan essentiƫle en belangrijke entiteiten met betrekking tot incident reporting en logging van beveiligingsgebeurtenissen. Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, moeten kunnen aantonen dat zij beschikken over adequate logging en monitoring capaciteiten om beveiligingsincidenten te detecteren, te onderzoeken en te rapporteren aan de bevoegde autoriteiten. Artikel 21 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om beveiligingsincidenten te detecteren en te onderzoeken, wat onder andere betekent dat zij moeten beschikken over uitgebreide auditlogging die alle relevante beveiligingsgebeurtenissen vastlegt voor voldoende lange perioden om incidenten volledig te kunnen onderzoeken. Voor Microsoft 365 omgevingen betekent dit dat unified audit logging moet zijn ingeschakeld, dat bewaartermijnen moeten worden afgestemd op de behoefte om incidenten te kunnen onderzoeken (wat vaak maanden of jaren kan duren), en dat organisaties kunnen aantonen dat geconfigureerde bewaartermijnen voldoen aan deze vereisten. Het niet implementeren van adequate bewaartermijnen of het niet kunnen aantonen dat logs voldoende lang bewaard worden voor incidentonderzoek, kan leiden tot niet-naleving van NIS2, wat kan resulteren in boetes en andere handhavingsmaatregelen door de Autoriteit Consument en Markt (ACM) of andere toezichthouders.

Monitoring

Gebruik PowerShell-script audit-log-retention.ps1 (functie Invoke-Monitoring) ā€“ Controleert de geconfigureerde auditlog bewaartermijnen en verifieert dat deze voldoen aan minimaal vereiste waarden zoals vastgelegd in het auditlogbeleid..

Effectieve monitoring van audit log retention in Microsoft 365 is essentieel om te waarborgen dat bewaartermijnen niet onbedoeld worden aangepast, dat nieuwe vereisten tijdig worden gesignaleerd en dat geconfigureerde retentie-instellingen continu voldoen aan beleidsafspraken en wettelijke vereisten. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat bewaartermijnen overeenkomen met het auditlogbeleid, dat wijzigingen in licenties of configuraties niet tot onbedoelde verkortingen van bewaartermijnen leiden, en dat exports naar externe systemen correct functioneren. Monitoring omvat het continu volgen van de status van unified audit logging, het controleren welke retention policies actief zijn en welke bewaartermijnen daarbij horen, het verifiƫren dat exports naar Log Analytics of Sentinel correct functioneren, en het waarborgen dat geconfigureerde bewaartermijnen voldoen aan minimaal vereiste waarden zoals vastgelegd in het auditlogbeleid.

De basis van monitoring wordt gevormd door regelmatige verificatie van de huidige configuratie via PowerShell. Beheerders moeten maandelijks of ten minste per kwartaal controleren welke audit log retention policies actief zijn, welke bewaartermijnen daarbij horen, en of deze overeenkomen met het auditlogbeleid. Deze verificatie kan worden geautomatiseerd via het bijbehorende PowerShell-script `audit-log-retention.ps1`, dat de huidige configuratie ophaalt, de bewaartermijnen vergelijkt met minimaal vereiste waarden en waarschuwingen genereert wanneer afwijkingen worden gedetecteerd. Het script ondersteunt lokale debug-modus voor veilige tests zonder live-verbinding, en live-modus voor daadwerkelijke controles in de tenant. De resultaten worden gerapporteerd in een gestructureerd formaat dat kan worden gebruikt voor audit-evidence en periodieke rapportages aan CISO, FG en andere stakeholders.

Naast het controleren van de configuratie zelf moeten organisaties ook monitoren of de geconfigureerde bewaartermijnen daadwerkelijk worden gerealiseerd in de praktijk. Dit betekent dat periodiek moet worden geverifieerd dat logs die onder extended retention vallen inderdaad langer beschikbaar zijn dan de standaard bewaartermijn, door historische logs te analyseren en te controleren of gebeurtenissen die onder retention policies vallen nog steeds toegankelijk zijn na het verstrijken van de standaard bewaartermijn. Daarnaast moeten organisaties monitoren of exports naar externe systemen zoals Azure Log Analytics correct functioneren, door te controleren of logs daadwerkelijk aankomen in de Log Analytics workspace, of er geen fouten zijn in het exportproces, en of de export binnen de verwachte tijdsframes plaatsvindt. Problemen met exports kunnen leiden tot situaties waarin logs niet beschikbaar zijn in externe systemen, wat kan resulteren in gaten in de audittrail wanneer de standaard bewaartermijn verloopt.

Voor organisaties die gebruik maken van exports naar Azure Log Analytics of Microsoft Sentinel is het ook belangrijk om te monitoren of storage-quota of kostenlimieten niet worden overschreden. Langetermijnopslag van auditlogs kan aanzienlijke kosten met zich meebrengen, vooral voor grote organisaties met veel activiteit. Organisaties moeten daarom processen implementeren voor het monitoren van storage-gebruik en kosten, het instellen van waarschuwingen wanneer limieten worden benaderd, en het periodiek evalueren of alle geƫxporteerde logs nog steeds nodig zijn of kunnen worden gearchiveerd of geanonimiseerd. Daarnaast moeten organisaties processen hebben voor het beheren van toegang tot geƫxporteerde logs, om te waarborgen dat alleen geautoriseerde personen toegang hebben en dat alle toegang wordt gelogd voor audit-doeleinden.

Ten slotte moeten organisaties periodiek evalueren of de geconfigureerde bewaartermijnen nog steeds aansluiten bij actuele risico's, wetgeving en operationele behoeften. Nieuwe dreigingsvormen, aangepaste normenkaders of ervaringen uit incidentonderzoeken kunnen aanleiding zijn om bewaartermijnen aan te passen. Daarnaast kunnen wijzigingen in licenties, nieuwe Microsoft 365 functionaliteiten of veranderde wettelijke vereisten impact hebben op de optimale bewaartermijnen. Deze evaluaties worden minimaal jaarlijks uitgevoerd door CISO, FG, juristen en proceseigenaren, waarbij wordt beoordeeld of huidige bewaartermijnen nog steeds passend zijn en of aanpassingen nodig zijn. De uitkomsten van deze evaluaties en de daarbij behorende besluiten worden zorgvuldig gedocumenteerd en vertaald naar aanpassingen in configuraties, zodat de organisatie bij toekomstige audits kan laten zien hoe het auditlogbeleid door de tijd heen is verbeterd en aangepast aan veranderende omstandigheden.

Remediatie

Gebruik PowerShell-script audit-log-retention.ps1 (functie Invoke-Remediation) ā€“ Configureert of wijzigt audit log retention policies om te waarborgen dat bewaartermijnen voldoen aan minimaal vereiste waarden zoals vastgelegd in het auditlogbeleid..

Remediatie van audit log retention in Microsoft 365 omvat het configureren of aanpassen van retention policies wanneer geconfigureerde bewaartermijnen niet voldoen aan beleidsafspraken of wettelijke vereisten. Het is belangrijk om te realiseren dat wanneer bewaartermijnen te kort zijn geconfigureerd, logs die reeds zijn verwijderd niet kunnen worden hersteld, wat kan resulteren in permanente gaten in de audittrail. Daarom moeten organisaties processen implementeren voor het snel detecteren en oplossen van problemen met bewaartermijnen, zodat de impact op de audittrail wordt geminimaliseerd en toekomstige logs wel voor de vereiste periode worden bewaard.

Wanneer monitoring aangeeft dat bewaartermijnen niet voldoen aan minimaal vereiste waarden, wordt eerst geanalyseerd wat de oorzaak is van het probleem. Mogelijke oorzaken zijn: de standaard bewaartermijn is te kort op basis van de licentie, er zijn geen retention policies geconfigureerd voor kritieke gebeurtenissen die langere bewaartermijnen vereisen, of retention policies zijn onbedoeld verwijderd of gewijzigd. Op basis van deze analyse wordt een remediatieplan opgesteld dat beschrijft welke configuratiewijzigingen nodig zijn, welke stakeholders moeten worden geconsulteerd (zoals CISO en FG), en hoe de wijzigingen worden gevalideerd na implementatie.

Vervolgens worden de benodigde configuratiewijzigingen doorgevoerd. Voor gebeurtenissen die langere bewaartermijnen vereisen dan de standaard bewaartermijn, worden audit log retention policies geconfigureerd via het Microsoft Purview complianceportaal of via PowerShell met behulp van New-AuditLogRetentionPolicy. Deze policies specificeren welke gebeurtenissen, gebruikers of workloads onder extended retention vallen en welke bewaartermijn daarbij hoort. Voor zeer lange bewaartermijnen van meerdere jaren wordt export geconfigureerd naar Azure Log Analytics of Microsoft Sentinel, waarbij een Log Analytics workspace wordt gekoppeld aan de unified audit log en retentie-instellingen worden geconfigureerd in de workspace. Na configuratie wordt de implementatie gevalideerd door te verifiƫren dat retention policies daadwerkelijk actief zijn, dat exports correct functioneren, en dat nieuwe gebeurtenissen inderdaad voor de vereiste periode worden bewaard.

Voor organisaties die reeds verloren logs hebben door te korte bewaartermijnen in het verleden, is het belangrijk om te documenteren wat er is gebeurd, welke logs ontbreken en wat de impact is op compliance en operationele capaciteiten. Hoewel verloren logs niet kunnen worden hersteld, kan deze documentatie helpen bij het rechtvaardigen van langere bewaartermijnen in de toekomst en bij het aantonen aan toezichthouders dat de organisatie heeft geleerd van het incident en passende maatregelen heeft genomen om herhaling te voorkomen. Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van het probleem, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat bewaartermijnen opnieuw te kort worden geconfigureerd. Dit kan bijvoorbeeld betekenen dat beheerders moeten worden getraind in het belang van adequate bewaartermijnen, dat configuratiewijzigingen moeten worden gereviewd voordat zij worden doorgevoerd, of dat aanvullende controles moeten worden geĆÆmplementeerd om te voorkomen dat retention policies onbedoeld worden verwijderd of aangepast.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Audit Log Retention .DESCRIPTION Controleert en configureert auditlog bewaartermijnen in Microsoft 365. Verifieert dat bewaartermijnen voldoen aan minimaal vereiste waarden zoals vastgelegd in het auditlogbeleid. Kritiek voor compliance, forensisch onderzoek en incidentanalyse. .NOTES Filename: audit-log-retention.ps1 Author: Nederlandse Baseline voor Veilige Cloud Category: audit-compliance .EXAMPLE .\audit-log-retention.ps1 -Monitoring Controleer of auditlog bewaartermijnen voldoen aan beleidsafspraken. .EXAMPLE .\audit-log-retention.ps1 -Remediation Configureer of wijzig audit log retention policies om te voldoen aan minimaal vereiste waarden. .PARAMETER MinimumRetentionDays Minimale vereiste bewaartermijn in dagen. Default: 90 dagen voor standaard logs, 365 dagen voor kritieke gebeurtenissen. .PARAMETER CriticalEventsMinimumDays Minimale vereiste bewaartermijn voor kritieke gebeurtenissen in dagen. Default: 365 dagen. #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$Revert, [Parameter(Mandatory = $false)] [switch]$WhatIf, [Parameter(Mandatory = $false)] [int]$MinimumRetentionDays = 90, [Parameter(Mandatory = $false)] [int]$CriticalEventsMinimumDays = 365, [Parameter(Mandatory = $false)] [switch]$DebugMode ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Audit Log Retention" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Debug mode: genereer voorbeelddata zonder verbinding function Get-SampleAuditConfig { return [PSCustomObject]@{ UnifiedAuditLogIngestionEnabled = $true AdminAuditLogEnabled = $true DefaultRetentionDays = 90 LastUpdateTime = (Get-Date).AddDays(-30) } } function Get-SampleRetentionPolicies { return @( [PSCustomObject]@{ Name = "Critical Admin Actions" Priority = 1 RetentionDays = 365 Workloads = @("Exchange", "SharePoint") Enabled = $true }, [PSCustomObject]@{ Name = "High Risk User Activities" Priority = 2 RetentionDays = 180 Workloads = @("Exchange", "OneDrive") Enabled = $true } ) } function Invoke-Monitoring { <# .SYNOPSIS Controleert of auditlog bewaartermijnen voldoen aan minimaal vereiste waarden. #> try { if ($DebugMode) { Write-Host "[DEBUG MODE] Gebruik voorbeelddata voor lokale tests." -ForegroundColor Yellow $auditConfig = Get-SampleAuditConfig $retentionPolicies = Get-SampleRetentionPolicies } else { Write-Host "Verbinding maken met Exchange Online..." -ForegroundColor Gray Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Host "Huidige configuratie van unified audit logging ophalen..." -ForegroundColor Gray $auditConfig = Get-AdminAuditLogConfig -ErrorAction Stop Write-Host "Actieve audit log retention policies ophalen..." -ForegroundColor Gray $retentionPolicies = @() try { $retentionPolicies = Get-AuditLogRetentionPolicy -ErrorAction SilentlyContinue } catch { Write-Host " [INFO] Geen retention policies gevonden of cmdlet niet beschikbaar." -ForegroundColor Yellow } } # Bepaal standaard bewaartermijn op basis van licentie (geschat op basis van configuratie) $defaultRetentionDays = if ($auditConfig.UnifiedAuditLogIngestionEnabled) { # Standaard: 90 dagen voor E3, 365 dagen voor E5 (dit is een schatting, exacte waarde komt uit licentie) Write-Host " [INFO] Standaard bewaartermijn is licentie-afhankelijk (90 dagen E3, 365 dagen E5)." -ForegroundColor Cyan 90 # Conservatieve schatting } else { 0 } $result = [PSCustomObject]@{ IsCompliant = $true UnifiedAuditLogEnabled = $auditConfig.UnifiedAuditLogIngestionEnabled DefaultRetentionDays = $defaultRetentionDays MinimumRequiredDays = $MinimumRetentionDays RetentionPoliciesCount = $retentionPolicies.Count RetentionPolicies = @() Issues = @() } Write-Host "" Write-Host "=== Status Unified Audit Log ===" -ForegroundColor Cyan if ($auditConfig.UnifiedAuditLogIngestionEnabled) { Write-Host " [OK] Unified Audit Log: ENABLED" -ForegroundColor Green Write-Host " Standaard bewaartermijn: ~$defaultRetentionDays dagen (licentie-afhankelijk)" -ForegroundColor Gray } else { Write-Host " [FAIL] Unified Audit Log: DISABLED" -ForegroundColor Red $result.IsCompliant = $false $result.Issues += "Unified Audit Log is uitgeschakeld" } Write-Host "" Write-Host "=== Audit Log Retention Policies ===" -ForegroundColor Cyan if ($retentionPolicies.Count -gt 0) { Write-Host " [INFO] Gevonden retention policies: $($retentionPolicies.Count)" -ForegroundColor Cyan foreach ($policy in $retentionPolicies) { $policyInfo = [PSCustomObject]@{ Name = $policy.Name RetentionDays = if ($policy.RetentionDuration) { $policy.RetentionDuration.Days } else { $defaultRetentionDays } Enabled = $policy.Enabled Compliant = $true } if ($policyInfo.RetentionDays -lt $CriticalEventsMinimumDays -and $policy.Name -match "Critical|Admin|High.*Risk") { Write-Host " [WARNING] Policy '$($policy.Name)': $($policyInfo.RetentionDays) dagen (minimum: $CriticalEventsMinimumDays dagen)" -ForegroundColor Yellow $policyInfo.Compliant = $false $result.IsCompliant = $false $result.Issues += "Policy '$($policy.Name)' heeft te korte bewaartermijn" } else { Write-Host " [OK] Policy '$($policy.Name)': $($policyInfo.RetentionDays) dagen" -ForegroundColor Green } $result.RetentionPolicies += $policyInfo } } else { Write-Host " [INFO] Geen retention policies geconfigureerd." -ForegroundColor Yellow Write-Host " Overweeg retention policies voor kritieke gebeurtenissen." -ForegroundColor Gray if ($defaultRetentionDays -lt $CriticalEventsMinimumDays) { Write-Host " [WARNING] Standaard bewaartermijn ($defaultRetentionDays dagen) is korter dan aanbevolen voor kritieke gebeurtenissen ($CriticalEventsMinimumDays dagen)." -ForegroundColor Yellow $result.IsCompliant = $false $result.Issues += "Geen retention policies voor kritieke gebeurtenissen met verlengde bewaartermijn" } } Write-Host "" Write-Host "=== Compliance Check ===" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host " [OK] COMPLIANT" -ForegroundColor Green Write-Host " Bewaartermijnen voldoen aan minimaal vereiste waarden." -ForegroundColor Cyan } else { Write-Host " [FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host " Gevonden problemen:" -ForegroundColor Red foreach ($issue in $result.Issues) { Write-Host " - $issue" -ForegroundColor Red } Write-Host " Gebruik -Remediation om problemen op te lossen." -ForegroundColor Yellow } if ($DebugMode) { Write-Host "`n[DEBUG] Resultaatobject:" -ForegroundColor Gray $result | ConvertTo-Json -Depth 5 | Write-Host } return $result } catch { Write-Host "`n[FAIL] ER IS EEN FOUT OPGETREDEN TIJDENS MONITORING" -ForegroundColor Red Write-Host "Details: $($_.Exception.Message)" -ForegroundColor Red throw } finally { if (-not $DebugMode) { try { Disconnect-ExchangeOnline -Confirm:$false -ErrorAction SilentlyContinue | Out-Null } catch { # negeren, best effort disconnect } } } } function Invoke-Remediation { <# .SYNOPSIS Configureert of wijzigt audit log retention policies om te voldoen aan minimaal vereiste waarden. #> try { if ($WhatIf) { Write-Host "[INFO] WhatIf-modus: er worden geen wijzigingen doorgevoerd." -ForegroundColor Yellow } if ($DebugMode) { Write-Host "[DEBUG MODE] Remediatie kan niet worden uitgevoerd in debug-modus." -ForegroundColor Yellow Write-Host "[DEBUG] In productie zouden retention policies worden geconfigureerd." -ForegroundColor Gray return } Write-Host "Verbinding maken met Exchange Online..." -ForegroundColor Gray Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Host "Huidige status controleren..." -ForegroundColor Gray $auditConfig = Get-AdminAuditLogConfig -ErrorAction Stop if (-not $auditConfig.UnifiedAuditLogIngestionEnabled) { Write-Host " [WARNING] Unified Audit Log is uitgeschakeld. Schakel eerst unified audit logging in." -ForegroundColor Yellow Write-Host " Gebruik: Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled `$true" -ForegroundColor Gray } Write-Host "Controleer of retention policies nodig zijn..." -ForegroundColor Gray try { $existingPolicies = Get-AuditLogRetentionPolicy -ErrorAction SilentlyContinue } catch { $existingPolicies = @() Write-Host " [INFO] Retention policies zijn mogelijk niet beschikbaar met huidige licentie." -ForegroundColor Yellow Write-Host " Overweeg export naar Azure Log Analytics voor verlengde bewaartermijnen." -ForegroundColor Gray } # Voorbeeld: configureer retention policy voor kritieke gebeurtenissen # In productie zou dit worden aangepast op basis van specifieke vereisten $criticalPolicyName = "Critical Admin Actions - Extended Retention" $policyExists = $existingPolicies | Where-Object { $_.Name -eq $criticalPolicyName } if (-not $policyExists) { Write-Host "Configureer retention policy voor kritieke beheerdersacties..." -ForegroundColor Gray Write-Host " [INFO] Policy naam: $criticalPolicyName" -ForegroundColor Cyan Write-Host " [INFO] Beoogde bewaartermijn: $CriticalEventsMinimumDays dagen" -ForegroundColor Cyan if (-not $WhatIf) { try { # Let op: exacte parameters kunnen variƫren per Microsoft 365 versie # Dit is een voorbeeld - pas aan op basis van actuele cmdlet-syntax Write-Host " [INFO] Gebruik New-AuditLogRetentionPolicy cmdlet om policy te maken." -ForegroundColor Gray Write-Host " [INFO] Raadpleeg Microsoft-documentatie voor exacte syntax." -ForegroundColor Gray # New-AuditLogRetentionPolicy -Name $criticalPolicyName -RetentionDuration (New-TimeSpan -Days $CriticalEventsMinimumDays) -Workloads @("Exchange", "SharePoint", "OneDrive", "Teams") } catch { Write-Host " [WARNING] Retention policy kon niet worden aangemaakt: $_" -ForegroundColor Yellow Write-Host " [INFO] Controleer of de juiste licentie en rollen beschikbaar zijn." -ForegroundColor Gray } } else { Write-Host "[WhatIf] New-AuditLogRetentionPolicy zou worden aangeroepen voor $criticalPolicyName" -ForegroundColor Gray } } else { Write-Host " [OK] Retention policy '$criticalPolicyName' bestaat al." -ForegroundColor Green } Write-Host "" Write-Host "Belangrijke aandachtspunten:" -ForegroundColor Cyan Write-Host " - Retention policies zijn alleen beschikbaar met bepaalde licenties." -ForegroundColor Gray Write-Host " - Voor zeer lange bewaartermijnen (jaren) overweeg export naar Azure Log Analytics." -ForegroundColor Gray Write-Host " - Valideer configuratie met -Monitoring na wijzigingen." -ForegroundColor Gray Write-Host "`n[OK] Remediatie voltooid." -ForegroundColor Green } catch { Write-Host "`n[FAIL] ER IS EEN FOUT OPGETREDEN TIJDENS REMEDIATIE" -ForegroundColor Red Write-Host "Details: $($_.Exception.Message)" -ForegroundColor Red throw } finally { if (-not $DebugMode) { try { Disconnect-ExchangeOnline -Confirm:$false -ErrorAction SilentlyContinue | Out-Null } catch { # negeren, best effort disconnect } } } } function Invoke-Revert { <# .SYNOPSIS Verwijdert retention policies (niet aanbevolen). #> try { Write-Host "WAARSCHUWING: Het verwijderen van retention policies kan leiden tot kortere bewaartermijnen." -ForegroundColor Red Write-Host "Dit kan resulteren in niet-naleving van compliance-vereisten.`n" -ForegroundColor Red if ($WhatIf) { Write-Host "[WhatIf] Retention policies zouden niet daadwerkelijk worden verwijderd." -ForegroundColor Yellow return } if ($DebugMode) { Write-Host "[DEBUG MODE] Revert kan niet worden uitgevoerd in debug-modus." -ForegroundColor Yellow return } Write-Host "Verbinding maken met Exchange Online..." -ForegroundColor Gray Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Host "Actieve retention policies ophalen..." -ForegroundColor Gray try { $policies = Get-AuditLogRetentionPolicy -ErrorAction SilentlyContinue foreach ($policy in $policies) { Write-Host " [INFO] Policy gevonden: $($policy.Name)" -ForegroundColor Yellow Write-Host " [WARNING] Verwijdering wordt niet automatisch uitgevoerd voor veiligheid." -ForegroundColor Yellow Write-Host " [INFO] Gebruik Remove-AuditLogRetentionPolicy handmatig indien nodig." -ForegroundColor Gray } } catch { Write-Host " [INFO] Geen retention policies gevonden of cmdlet niet beschikbaar." -ForegroundColor Gray } } catch { Write-Host "ER IS EEN FOUT OPGETREDEN TIJDENS REVERT: $_" -ForegroundColor Red throw } finally { if (-not $DebugMode) { try { Disconnect-ExchangeOnline -Confirm:$false -ErrorAction SilentlyContinue | Out-Null } catch { # negeren } } } } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { $result = Invoke-Monitoring if ($result -and -not $result.IsCompliant) { exit 1 } exit 0 } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Gebruik:" -ForegroundColor Yellow Write-Host " -Monitoring Controleert of auditlog bewaartermijnen voldoen aan beleidsafspraken." -ForegroundColor Gray Write-Host " -Remediation Configureert of wijzigt retention policies om te voldoen aan minimaal vereiste waarden." -ForegroundColor Gray Write-Host " -Revert Verwijdert retention policies (niet aanbevolen)." -ForegroundColor Red Write-Host " -WhatIf Toont welke acties zouden worden uitgevoerd zonder wijzigingen te maken." -ForegroundColor Gray Write-Host " -MinimumRetentionDays Minimale vereiste bewaartermijn in dagen (default: 90)." -ForegroundColor Gray Write-Host " -CriticalEventsMinimumDays Minimale bewaartermijn voor kritieke gebeurtenissen (default: 365)." -ForegroundColor Gray Write-Host " -DebugMode Gebruik voorbeelddata voor lokale tests zonder verbinding." -ForegroundColor Gray } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder adequate bewaartermijnen voor auditlogs kunnen organisaties niet voldoen aan wettelijke verplichtingen, kunnen incidenten niet volledig worden onderzocht en ontbreekt essentiƫle forensische informatie wanneer deze het hardst nodig is. Dit kan leiden tot niet-naleving van compliance-frameworks zoals BIO, AVG en NIS2, reputatieschade en juridische aansprakelijkheid.

Management Samenvatting

Configureer audit log retention policies in Microsoft 365 om te waarborgen dat kritieke gebeurtenissen worden bewaard voor voldoende lange perioden om incidenten te kunnen onderzoeken en te voldoen aan wettelijke verplichtingen. Gebruik export naar Azure Log Analytics voor zeer lange bewaartermijnen. Monitor bewaartermijnen periodiek met het script `audit-log-retention.ps1` om te verifiƫren dat configuraties voldoen aan beleidsafspraken.