💼 Management Samenvatting
Het zoeken in auditlogs vormt de fundamentele basis voor beveiligingsonderzoeken, naleving van wet- en regelgeving en elektronische opsporing binnen Microsoft 365 omgevingen. Zonder uitgebreide auditlogging beschikken organisaties niet over de benodigde zichtbaarheid om beveiligingsincidenten te detecteren, te onderzoeken en te reageren op bedreigingen die de integriteit, vertrouwelijkheid en beschikbaarheid van informatie kunnen schaden.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ M365
Auditlogging is niet alleen een technische functionaliteit, maar een kritieke beveiligingscontrole die organisaties in staat stelt om volledige transparantie te verkrijgen over alle activiteiten die plaatsvinden binnen hun Microsoft 365 omgeving. Zonder uitgebreide auditlogs beschikken organisaties niet over de benodigde zichtbaarheid om te begrijpen wie toegang heeft gehad tot welke gegevens, welke configuratiewijzigingen zijn doorgevoerd, welke beveiligingsgebeurtenissen hebben plaatsgevonden en welke activiteiten mogelijk verdacht of kwaadaardig zijn. Deze zichtbaarheid is essentieel voor het uitvoeren van forensisch onderzoek na beveiligingsincidenten, waarbij security analisten moeten kunnen reconstrueren wat er precies is gebeurd, wanneer dit heeft plaatsgevonden en wie hierbij betrokken was. Zonder gedetailleerde auditlogs is het onmogelijk om de volledige omvang van een beveiligingsincident te begrijpen, de impact te bepalen en passende maatregelen te nemen om verdere schade te voorkomen. Daarnaast zijn auditlogs onmisbaar voor het voldoen aan compliance-vereisten zoals vastgelegd in de Algemene Verordening Gegevensbescherming (AVG), de NIS2 richtlijn, de Baseline Informatiebeveiliging Overheid (BIO) en andere relevante wet- en regelgeving die van toepassing is op Nederlandse overheidsorganisaties. Deze frameworks vereisen dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om gegevens te beveiligen en dat zij in staat zijn om toegang tot persoonsgegevens te monitoren en te loggen. Het ontbreken van adequate auditlogging kan leiden tot niet-naleving van deze vereisten, wat kan resulteren in boetes, reputatieschade en juridische aansprakelijkheid. Voor organisaties in de publieke sector is auditlogging bovendien essentieel voor het waarborgen van transparantie en verantwoording, waarbij bestuurders moeten kunnen aantonen dat zij passende controles hebben geïmplementeerd om de beveiliging van informatie te waarborgen.
PowerShell Modules Vereist
Primary API: Security & Compliance PowerShell
Connection:
Required Modules: ExchangeOnlineManagement
Connection:
Connect-IPPSSessionRequired Modules: ExchangeOnlineManagement
Implementatie
Unified audit logging in Microsoft 365 biedt organisaties een centrale loggingoplossing die alle gebruikersactiviteiten, beheerdersacties, bestandstoegang en beveiligingsgebeurtenissen registreert over alle Microsoft 365 services heen, inclusief Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Azure Active Directory en andere cloudservices. Deze geïntegreerde aanpak zorgt ervoor dat alle relevante gebeurtenissen worden vastgelegd in een gestandaardiseerd formaat, waardoor security analisten en compliance officers een compleet beeld krijgen van alle activiteiten binnen de organisatie. De unified audit log registreert verschillende typen gebeurtenissen, waaronder aanmeldingsgebeurtenissen die informatie bevatten over wie wanneer heeft ingelogd, vanaf welke locatie en met welk apparaat, bestandsactiviteiten die laten zien welke bestanden zijn geopend, gewijzigd, gedeeld of verwijderd, e-mailactiviteiten die registreren welke e-mails zijn verzonden, ontvangen of verwijderd, beheerdersacties die alle configuratiewijzigingen en beheerhandelingen vastleggen, en beveiligingsgebeurtenissen die informatie bevatten over bedreigingen, waarschuwingen en incidenten. Door al deze gebeurtenissen centraal te loggen in de unified audit log, kunnen organisaties efficiënt zoeken door alle activiteiten heen, correlaties leggen tussen verschillende gebeurtenissen en volledige audittrails opbouwen die essentieel zijn voor compliance-doeleinden en forensisch onderzoek.
Vereisten
Voor het inschakelen en effectief gebruiken van auditlog zoeken in Microsoft 365 zijn specifieke licentievereisten, beheerdersbevoegdheden en technische configuraties noodzakelijk. Deze vereisten vormen de fundamentele basis voor een succesvolle implementatie van unified audit logging en zijn essentieel om te kunnen voldoen aan compliance-vereisten en beveiligingsbest practices. Organisaties die deze vereisten niet volledig begrijpen of implementeren, lopen het risico dat zij niet beschikken over de benodigde zichtbaarheid in hun Microsoft 365 omgeving en niet kunnen voldoen aan wettelijke verplichtingen zoals vastgelegd in de AVG, NIS2 richtlijn en de Baseline Informatiebeveiliging Overheid.
De primaire licentievereiste voor unified audit logging is een Microsoft 365 E3 of E5 licentie voor alle gebruikers en beheerders die toegang nodig hebben tot auditlog functionaliteit. De E3 licentie biedt standaard auditlogging met een bewaartermijn van negentig dagen, wat voldoende is voor de meeste operationele doeleinden en voor het uitvoeren van forensisch onderzoek naar recente incidenten. Deze negentig dagen bewaartermijn betekent dat organisaties toegang hebben tot alle auditlogs die zijn gegenereerd in de afgelopen drie maanden, wat meestal voldoende is om beveiligingsincidenten te onderzoeken die recent hebben plaatsgevonden. Voor organisaties die langere bewaartermijnen nodig hebben, bijvoorbeeld voor compliance-doeleinden of wettelijke verplichtingen, biedt de E5 licentie een uitgebreidere bewaartermijn van één jaar. Deze langere bewaartermijn is met name belangrijk voor organisaties die moeten voldoen aan specifieke compliance-frameworks die langere retentieperiodes vereisen, of voor organisaties die regelmatig audits ondergaan waarbij toegang tot historische auditlogs essentieel is.
Naast licentievereisten is een specifieke beheerdersrol vereist om auditlogging te kunnen inschakelen, configureren en doorzoeken. De Audit Administrator rol is de primaire rol die nodig is voor het beheren van unified audit logging functionaliteit. Deze rol kan worden toegewezen via de Microsoft 365 beheercentra, zoals het Microsoft 365 admin center of het Microsoft Entra admin center, of via PowerShell met behulp van de Exchange Online Management module. De Audit Administrator beschikt over de benodigde rechten om auditlogging in te schakelen, te configureren welke activiteiten worden gelogd, auditlogs te doorzoeken en te exporteren, en bewaartermijnen te beheren. Het is belangrijk te realiseren dat deze rol gevoelige bevoegdheden bevat, omdat auditlogs informatie kunnen bevatten over gebruikersactiviteiten, beheerdersacties en beveiligingsgebeurtenissen. Daarom moet de rol alleen worden toegewezen aan vertrouwde beheerders die een security clearance hebben en die zijn getraind in het omgaan met gevoelige informatie. Organisaties moeten een proces implementeren voor het toewijzen en beheren van deze rol, inclusief regelmatige reviews om te verifiëren dat alleen geautoriseerde personen toegang hebben tot auditlog functionaliteit.
Voor organisaties die auditlogs willen exporteren naar externe systemen zoals Azure Log Analytics, Microsoft Sentinel of andere Security Information and Event Management (SIEM) oplossingen, zijn aanvullende configuraties en machtigingen vereist. De export van auditlogs naar Azure Log Analytics vereist dat de organisatie beschikt over een Azure Log Analytics workspace en dat de juiste service principal of managed identity is geconfigureerd met de benodigde machtigingen om data te schrijven naar de Log Analytics workspace. Deze export functionaliteit maakt het mogelijk om auditlogs voor langere perioden te bewaren dan de standaard bewaartermijn die wordt geboden door de E3 of E5 licentie, wat essentieel kan zijn voor organisaties die moeten voldoen aan compliance-vereisten die langere retentieperiodes vereisen. Daarnaast biedt export naar Log Analytics de mogelijkheid om geavanceerde analyses uit te voeren op auditlogs, correlaties te leggen tussen verschillende gebeurtenissen en geautomatiseerde detectieregels te implementeren die verdachte activiteiten kunnen identificeren.
Technische vereisten omvatten ook de beschikbaarheid van PowerShell-modules en de juiste netwerkconnectiviteit. Beheerders die auditlogs willen doorzoeken of configureren via PowerShell moeten beschikken over de Exchange Online Management module, die kan worden geïnstalleerd via de PowerShell Gallery. Deze module bevat de benodigde cmdlets voor het werken met unified audit logs, zoals Search-UnifiedAuditLog voor het doorzoeken van auditlogs en Set-AdminAuditLogConfig voor het configureren van auditlogging-instellingen. Daarnaast moeten beheerders beschikken over netwerkconnectiviteit naar Microsoft 365 services, wat meestal betekent dat zij toegang hebben tot internet of dat er een ExpressRoute-verbinding is geconfigureerd voor organisaties die privéconnectiviteit vereisen. Voor organisaties met strikte netwerkbeveiliging kunnen aanvullende firewallregels nodig zijn om toegang te verlenen tot de benodigde Microsoft 365 endpoints voor auditlog functionaliteit.
Het is cruciaal te realiseren dat zonder de juiste licentie en bevoegdheden de unified audit logging functionaliteit niet beschikbaar is en organisaties niet kunnen voldoen aan compliance-vereisten zoals vastgelegd in de AVG, NIS2 richtlijn en andere relevante wet- en regelgeving voor de Nederlandse publieke sector. Het ontbreken van adequate auditlogging kan leiden tot niet-naleving van deze vereisten, wat kan resulteren in boetes, reputatieschade en juridische aansprakelijkheid. Daarom moeten organisaties ervoor zorgen dat alle vereisten volledig zijn geïmplementeerd voordat zij afhankelijk worden van auditlogging voor compliance-doeleinden of beveiligingsmonitoring.
Implementatie
De implementatie van auditlog zoeken in Microsoft 365 vereist een gestructureerde aanpak die begint met verificatie van de huidige status, gevolgd door configuratie en validatie van de logging-functionaliteit. Hoewel unified audit logging standaard ingeschakeld is voor de meeste Microsoft 365 organisaties die beschikken over E3 of E5 licenties, is het essentieel om te verifiëren dat de functionaliteit daadwerkelijk actief is en dat alle benodigde activiteiten worden gelogd. Het ontbreken van deze verificatie kan leiden tot situaties waarin organisaties ervan uitgaan dat auditlogging actief is, terwijl in werkelijkheid bepaalde activiteiten niet worden vastgelegd, wat kan resulteren in gaten in de audittrail en niet-naleving van compliance-vereisten.
De eerste stap in het implementatieproces is het navigeren naar het Microsoft 365 Security & Compliance centrum via security.microsoft.com. Een beheerder met de Audit Administrator rol kan hier naar de Audit sectie navigeren en de status van unified audit logging controleren. In de Audit sectie wordt getoond of unified audit logging is ingeschakeld en of er auditlogs beschikbaar zijn. Hoewel de functionaliteit meestal standaard is ingeschakeld, is het belangrijk om expliciet te verifiëren dat de functie 'Start recording' is geactiveerd en dat er geen waarschuwingen of foutmeldingen zijn die kunnen wijzen op problemen met de logging-functionaliteit. Als unified audit logging niet is ingeschakeld, kan dit worden geactiveerd door op de knop 'Start recording' te klikken, waarna Microsoft 365 begint met het vastleggen van alle relevante activiteiten.
Na het verifiëren of activeren van unified audit logging is het essentieel om te controleren of auditlogs daadwerkelijk worden gegenereerd en opgeslagen voor verschillende activiteitstypen. Deze verificatie kan worden uitgevoerd via PowerShell met behulp van de cmdlet Search-UnifiedAuditLog uit de Exchange Online Management module. Deze cmdlet stelt beheerders in staat om te zoeken door auditlogs op basis van verschillende criteria, zoals gebruikers, activiteitstypen, datumbereiken en andere filters. Door een testzoekopdracht uit te voeren kunnen beheerders verifiëren dat auditlogs worden gegenereerd voor verschillende activiteiten, zoals aanmeldingen, bestandstoegang, e-mailactiviteiten en beheerdersacties. Als de zoekopdracht geen resultaten oplevert of als bepaalde activiteitstypen ontbreken, kan dit wijzen op problemen met de logging-configuratie die moeten worden opgelost voordat de organisatie kan vertrouwen op auditlogging voor compliance-doeleinden.
De bewaartermijn van auditlogs is afhankelijk van de licentie die de organisatie heeft: Microsoft 365 E3 licenties bieden standaard een bewaartermijn van negentig dagen, terwijl E5 licenties een uitgebreidere bewaartermijn van één jaar bieden. Deze bewaartermijnen zijn automatisch geconfigureerd en kunnen niet worden gewijzigd binnen de standaard Microsoft 365 omgeving. Voor organisaties die langere bewaartermijnen nodig hebben, bijvoorbeeld voor compliance-doeleinden of wettelijke verplichtingen die langere retentieperiodes vereisen, kunnen auditlogs worden geëxporteerd naar Azure Log Analytics. Deze export functionaliteit maakt het mogelijk om auditlogs voor langere perioden te bewaren dan de standaard bewaartermijn, wat essentieel kan zijn voor organisaties die moeten voldoen aan compliance-frameworks zoals de AVG, NIS2 richtlijn of de Baseline Informatiebeveiliging Overheid die langere retentieperiodes kunnen vereisen.
De export van auditlogs naar Azure Log Analytics kan worden geconfigureerd via de Microsoft 365 compliance centra, specifiek via de Audit log export functionaliteit. Deze configuratie vereist dat de organisatie beschikt over een Azure Log Analytics workspace en dat de juiste service principal of managed identity is geconfigureerd met de benodigde machtigingen om data te schrijven naar de Log Analytics workspace. Eenmaal geconfigureerd, worden auditlogs automatisch geëxporteerd naar de Log Analytics workspace, waar zij kunnen worden bewaard voor langere perioden en waar geavanceerde analyses kunnen worden uitgevoerd. Deze export functionaliteit biedt organisaties de mogelijkheid om auditlogs te integreren met bestaande Security Information and Event Management (SIEM) systemen zoals Microsoft Sentinel, wat uitgebreide security monitoring en incident response capaciteiten biedt. Door auditlogs te integreren met een SIEM-oplossing kunnen organisaties geautomatiseerde detectieregels implementeren die verdachte activiteiten kunnen identificeren, correlaties leggen tussen verschillende gebeurtenissen en geautomatiseerde responsacties uitvoeren wanneer beveiligingsincidenten worden gedetecteerd.
Na het configureren van unified audit logging en eventuele export naar Log Analytics, is het belangrijk om regelmatig te verifiëren dat de logging-functionaliteit correct blijft functioneren. Dit kan worden gedaan door periodiek testzoekopdrachten uit te voeren via PowerShell of via de Microsoft 365 compliance centra om te verifiëren dat auditlogs worden gegenereerd voor verschillende activiteitstypen. Daarnaast moeten organisaties processen implementeren voor het monitoren van de gezondheid van de auditlogging-infrastructuur, inclusief het controleren van storage-quota voor auditlogs en het verifiëren dat export naar Log Analytics correct functioneert. Door deze verificaties regelmatig uit te voeren kunnen organisaties ervoor zorgen dat zij altijd beschikken over complete audittrails die essentieel zijn voor compliance-doeleinden en forensisch onderzoek.
Compliance en Auditing
Auditlog zoeken is een fundamentele vereiste voor naleving van verschillende cybersecurity frameworks en wet- en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. Zonder uitgebreide auditlogging kunnen organisaties niet voldoen aan de vereisten van internationale standaarden zoals CIS, ISO 27001 en sectorspecifieke regelgeving zoals de AVG en NIS2 richtlijn. Deze frameworks vereisen allemaal dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om activiteiten te monitoren en te loggen, wat essentieel is voor het waarborgen van beveiliging, transparantie en verantwoording. Het ontbreken van adequate auditlogging kan leiden tot niet-naleving van deze vereisten, wat kan resulteren in boetes, reputatieschade en juridische aansprakelijkheid.
De CIS Microsoft 365 Benchmark controle 5.1.1 specificeert expliciet dat audit logging moet worden ingeschakeld om te voldoen aan Level 1 (L1) basisbeveiligingsvereisten. Deze controle vormt een essentieel onderdeel van de CIS Controls en is verplicht voor organisaties die streven naar een solide beveiligingsbasis. De CIS Microsoft 365 Benchmark is een uitgebreide set van beveiligingsaanbevelingen die specifiek zijn ontwikkeld voor Microsoft 365 omgevingen en die organisaties helpen om hun beveiligingspostuur te verbeteren. Controle 5.1.1 vereist niet alleen dat audit logging is ingeschakeld, maar ook dat organisaties kunnen aantonen dat zij regelmatig auditlogs reviewen en dat zij processen hebben geïmplementeerd voor het reageren op verdachte activiteiten die worden gedetecteerd in auditlogs. Het niet implementeren van deze controle resulteert in een failed audit finding, wat kan leiden tot compliance-problemen bij klanten of partners die CIS-compliance vereisen.
De Baseline Informatiebeveiliging Overheid (BIO) norm 12.04 vereist dat organisaties gebeurtenissen loggen en audittrails bijhouden voor alle kritieke systemen en processen. Deze norm is specifiek ontwikkeld voor de Nederlandse publieke sector en stelt eisen aan de logging van beveiligingsgebeurtenissen, toegangscontroles en systeemwijzigingen. De BIO is een verplicht framework voor Nederlandse overheidsorganisaties en vormt de basis voor informatiebeveiliging binnen de publieke sector. Norm 12.04 specificeert dat organisaties moeten kunnen aantonen dat zij alle relevante gebeurtenissen loggen, dat deze logs worden bewaard voor de vereiste periode, en dat er processen zijn geïmplementeerd voor het analyseren en reageren op gebeurtenissen die worden gedetecteerd in auditlogs. Voor Microsoft 365 omgevingen betekent dit dat unified audit logging moet zijn ingeschakeld en dat organisaties kunnen aantonen dat zij regelmatig auditlogs reviewen en dat zij processen hebben voor het reageren op verdachte activiteiten.
De ISO 27001 standaard, controle A.12.4.1, vereist eveneens logging van gebeurtenissen en het bijhouden van audittrails voor informatiebeveiligingsdoeleinden. Deze internationale standaard wordt veelvuldig gebruikt door Nederlandse organisaties die certificering nastreven en vormt een belangrijke basis voor informatiebeveiligingsmanagement. Controle A.12.4.1 specificeert dat organisaties moeten kunnen aantonen dat zij alle relevante gebeurtenissen loggen, dat deze logs worden bewaard voor de vereiste periode, en dat er processen zijn geïmplementeerd voor het analyseren en reageren op gebeurtenissen. Voor Microsoft 365 omgevingen betekent dit dat unified audit logging moet zijn ingeschakeld en dat organisaties kunnen aantonen dat zij voldoen aan de vereisten van deze controle. Het niet implementeren van adequate auditlogging kan leiden tot niet-naleving van ISO 27001, wat kan resulteren in het verlies van certificering en reputatieschade.
De Algemene Verordening Gegevensbescherming (AVG), Artikel 32, verplicht organisaties om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen, waarbij logging en monitoring van toegang tot persoonsgegevens een essentieel onderdeel vormt. Artikel 32 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om persoonsgegevens te beveiligen, wat onder andere betekent dat zij moeten kunnen monitoren wie toegang heeft gehad tot persoonsgegevens, wanneer deze toegang heeft plaatsgevonden en welke acties zijn uitgevoerd. Voor Microsoft 365 omgevingen betekent dit dat unified audit logging moet zijn ingeschakeld en dat organisaties kunnen aantonen dat zij toegang tot persoonsgegevens monitoren en loggen. Het niet implementeren van adequate auditlogging kan leiden tot niet-naleving van de AVG, wat kan resulteren in boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van wat hoger is.
De NIS2 richtlijn, Artikel 21, stelt specifieke eisen aan essentiële en belangrijke entiteiten met betrekking tot incident reporting en logging van beveiligingsgebeurtenissen. Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, moeten kunnen aantonen dat zij beschikken over adequate logging en monitoring capaciteiten om beveiligingsincidenten te detecteren, te onderzoeken en te rapporteren aan de bevoegde autoriteiten. Artikel 21 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om beveiligingsincidenten te detecteren en te onderzoeken, wat onder andere betekent dat zij moeten beschikken over uitgebreide auditlogging die alle relevante beveiligingsgebeurtenissen vastlegt. Voor Microsoft 365 omgevingen betekent dit dat unified audit logging moet zijn ingeschakeld en dat organisaties kunnen aantonen dat zij beveiligingsincidenten kunnen detecteren en onderzoeken op basis van auditlogs. Het niet implementeren van adequate auditlogging kan leiden tot niet-naleving van NIS2, wat kan resulteren in boetes en andere handhavingsmaatregelen door de Autoriteit Consument en Markt (ACM) of andere toezichthouders.
Monitoring
Gebruik PowerShell-script audit-log-search.ps1 (functie Invoke-Monitoring) – Automatiseert de verificatie van unified audit logging status en controleert of auditlogs worden gegenereerd.
Effectieve monitoring van unified audit logging in Microsoft 365 is essentieel om te waarborgen dat de logging-functionaliteit correct blijft functioneren en dat organisaties altijd beschikken over complete audittrails die essentieel zijn voor compliance-doeleinden en forensisch onderzoek. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat auditlogging actief is, dat alle relevante activiteiten worden gelogd, en dat er geen problemen zijn met de logging-infrastructuur die kunnen leiden tot gaten in de audittrail. Monitoring omvat het continu volgen van de status van unified audit logging, het verifiëren dat auditlogs worden gegenereerd voor verschillende activiteitstypen, het controleren van de gezondheid van de logging-infrastructuur, en het waarborgen dat export naar externe systemen zoals Azure Log Analytics correct functioneert.
De basis van monitoring wordt gevormd door regelmatige verificatie van de status van unified audit logging via het Microsoft 365 Security & Compliance centrum of via PowerShell. Beheerders moeten wekelijks controleren of unified audit logging is ingeschakeld en of er geen waarschuwingen of foutmeldingen zijn die kunnen wijzen op problemen met de logging-functionaliteit. Deze verificatie kan worden geautomatiseerd via PowerShell-scripts die de status van unified audit logging controleren en waarschuwingen genereren wanneer de functionaliteit is uitgeschakeld of wanneer er problemen worden gedetecteerd. Het is belangrijk om deze verificaties regelmatig uit te voeren, omdat configuratiewijzigingen of beheerdersfouten kunnen leiden tot het onbedoeld uitschakelen van auditlogging, wat kan resulteren in gaten in de audittrail en niet-naleving van compliance-vereisten.
Naast het controleren van de status van unified audit logging moeten organisaties regelmatig verifiëren dat auditlogs daadwerkelijk worden gegenereerd voor verschillende activiteitstypen. Dit kan worden gedaan door testzoekopdrachten uit te voeren via PowerShell met behulp van de Search-UnifiedAuditLog cmdlet, waarbij wordt gecontroleerd of auditlogs beschikbaar zijn voor verschillende activiteiten zoals aanmeldingen, bestandstoegang, e-mailactiviteiten en beheerdersacties. Als de zoekopdracht geen resultaten oplevert of als bepaalde activiteitstypen ontbreken, kan dit wijzen op problemen met de logging-configuratie die moeten worden opgelost. Organisaties moeten processen implementeren voor het regelmatig uitvoeren van deze verificaties, waarbij wekelijks wordt gecontroleerd of auditlogs worden gegenereerd voor verschillende activiteitstypen en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.
Voor organisaties die auditlogs exporteren naar Azure Log Analytics of andere externe systemen, is het essentieel om te monitoren of de export correct functioneert. Dit omvat het controleren of auditlogs daadwerkelijk worden geëxporteerd naar de externe systemen, of er geen fouten zijn in het exportproces, en of de export binnen de verwachte tijdsframes plaatsvindt. Problemen met de export kunnen leiden tot situaties waarin auditlogs niet beschikbaar zijn in externe systemen, wat kan resulteren in gaten in de audittrail en problemen met compliance-doeleinden. Organisaties moeten processen implementeren voor het monitoren van de export-functionaliteit, waarbij dagelijks wordt gecontroleerd of export correct functioneert en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.
Daarnaast moeten organisaties processen implementeren voor het monitoren van de gezondheid van de auditlogging-infrastructuur, inclusief het controleren van storage-quota voor auditlogs en het verifiëren dat er voldoende capaciteit beschikbaar is voor het opslaan van auditlogs. Als storage-quota worden bereikt, kunnen nieuwe auditlogs niet worden opgeslagen, wat kan resulteren in gaten in de audittrail. Organisaties moeten waarschuwingen configureren die worden gegenereerd wanneer storage-quota bijna worden bereikt, zodat proactieve maatregelen kunnen worden genomen om te voorkomen dat auditlogs verloren gaan. Voor organisaties die langere bewaartermijnen nodig hebben, is het belangrijk om te overwegen om auditlogs te exporteren naar externe systemen zoals Azure Log Analytics, waar langere bewaartermijnen mogelijk zijn zonder de beperkingen van de standaard Microsoft 365 storage-quota.
Remediatie
Gebruik PowerShell-script audit-log-search.ps1 (functie Invoke-Remediation) – Schakelt unified audit logging in wanneer deze is uitgeschakeld en verifieert de configuratie.
Remediatie van unified audit logging in Microsoft 365 omvat het inschakelen van de functionaliteit wanneer deze is uitgeschakeld, het corrigeren van configuratiefouten, en het waarborgen dat alle relevante activiteiten worden gelogd. Het is belangrijk om te realiseren dat wanneer unified audit logging is uitgeschakeld, er geen auditlogs worden gegenereerd voor activiteiten die plaatsvinden tijdens de periode waarin de functionaliteit is uitgeschakeld, wat kan resulteren in permanente gaten in de audittrail. Daarom moeten organisaties processen implementeren voor het snel detecteren en oplossen van problemen met auditlogging, zodat de impact op de audittrail wordt geminimaliseerd.
Wanneer unified audit logging is uitgeschakeld, kan dit worden geactiveerd via het Microsoft 365 Security & Compliance centrum door te navigeren naar de Audit sectie en op de knop 'Start recording' te klikken. Na het activeren van de functionaliteit begint Microsoft 365 onmiddellijk met het vastleggen van alle relevante activiteiten, maar het is belangrijk om te realiseren dat activiteiten die hebben plaatsgevonden tijdens de periode waarin de functionaliteit was uitgeschakeld, niet kunnen worden gereconstrueerd. Daarom moeten organisaties processen implementeren voor het snel detecteren wanneer unified audit logging is uitgeschakeld, zodat de functionaliteit zo snel mogelijk kan worden geactiveerd en de impact op de audittrail wordt geminimaliseerd.
Na het activeren van unified audit logging is het essentieel om te verifiëren dat de functionaliteit correct werkt en dat auditlogs worden gegenereerd voor verschillende activiteitstypen. Dit kan worden gedaan door testzoekopdrachten uit te voeren via PowerShell met behulp van de Search-UnifiedAuditLog cmdlet, waarbij wordt gecontroleerd of auditlogs beschikbaar zijn voor verschillende activiteiten. Als de zoekopdracht geen resultaten oplevert of als bepaalde activiteitstypen ontbreken, kan dit wijzen op problemen met de logging-configuratie die moeten worden opgelost. Organisaties moeten processen implementeren voor het uitvoeren van deze verificaties na het activeren van unified audit logging, zodat kan worden bevestigd dat de functionaliteit correct werkt voordat de organisatie weer afhankelijk wordt van auditlogging voor compliance-doeleinden.
Voor organisaties die auditlogs exporteren naar Azure Log Analytics of andere externe systemen, is het belangrijk om te verifiëren dat de export correct functioneert na het activeren van unified audit logging. Dit omvat het controleren of auditlogs daadwerkelijk worden geëxporteerd naar de externe systemen, of er geen fouten zijn in het exportproces, en of de export binnen de verwachte tijdsframes plaatsvindt. Als er problemen zijn met de export, moeten deze worden opgelost voordat de organisatie weer afhankelijk wordt van auditlogging voor compliance-doeleinden. Organisaties moeten processen implementeren voor het verifiëren van de export-functionaliteit na het activeren van unified audit logging, zodat kan worden bevestigd dat de export correct werkt.
Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van het uitschakelen van unified audit logging, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat beheerders moeten worden getraind in het belang van auditlogging, dat configuratiewijzigingen moeten worden gereviewd voordat zij worden doorgevoerd, of dat aanvullende controles moeten worden geïmplementeerd om te voorkomen dat unified audit logging onbedoeld wordt uitgeschakeld. Door deze preventieve maatregelen te implementeren kunnen organisaties ervoor zorgen dat unified audit logging continu actief blijft en dat er geen gaten ontstaan in de audittrail die kunnen leiden tot niet-naleving van compliance-vereisten.
Compliance & Frameworks
- CIS M365: Control 5.1.1 (L1) - Schakel audit logging in
- BIO: 12.04 - Gebeurtenissen loggen en audittrails bijhouden
- ISO 27001:2022: A.12.4.1 - Gebeurtenissen loggen en audittrails bijhouden
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Audit Log Search Enabled
.DESCRIPTION
Ensures the Microsoft 365 Unified Audit Log is enabled.
Critical for security investigations, compliance audits, and forensics.
.NOTES
Filename: audit-log-search.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Category: audit-compliance
.EXAMPLE
.\audit-log-search.ps1 -Monitoring
Check if audit logging is enabled
.EXAMPLE
.\audit-log-search.ps1 -Remediation
Enable audit logging
#>
#Requires -Version 5.1
#Requires -Modules ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$Revert,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Audit Log Search Enabled" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Invoke-Monitoring {
<#
.SYNOPSIS
Checks if unified audit log is enabled
#>
try {
Write-Host "Connecting to Exchange Online..." -ForegroundColor Gray
Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop
Write-Host "Checking unified audit log configuration..." -ForegroundColor Gray
$auditConfig = Get-AdminAuditLogConfig -ErrorAction Stop
$isEnabled = $auditConfig.UnifiedAuditLogIngestionEnabled -eq $true
$result = @{
isCompliant = $isEnabled
unifiedAuditLogEnabled = $isEnabled
}
if ($isEnabled) {
Write-Host " [OK] Unified Audit Log: ENABLED" -ForegroundColor Green
Write-Host " All user and admin activities are logged" -ForegroundColor Cyan
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
exit 0
}
else {
Write-Host " [FAIL] Unified Audit Log: DISABLED" -ForegroundColor Red
Write-Host " No audit trail for investigations!" -ForegroundColor Red
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
exit 1
}
}
catch {
Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Enables unified audit log
#>
try {
Write-Host "Connecting to Exchange Online..." -ForegroundColor Gray
Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop
Write-Host "Checking current status..." -ForegroundColor Gray
$auditConfig = Get-AdminAuditLogConfig -ErrorAction Stop
if ($auditConfig.UnifiedAuditLogIngestionEnabled -eq $true) {
Write-Host " [OK] Unified Audit Log already enabled" -ForegroundColor Green
Write-Host "`n[OK] Already compliant" -ForegroundColor Green
exit 0
}
Write-Host "Enabling Unified Audit Log..." -ForegroundColor Gray
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true -ErrorAction Stop
Write-Host "`n[OK] Unified Audit Log enabled successfully" -ForegroundColor Green
Write-Host "`nImportant notes:" -ForegroundColor Cyan
Write-Host " • Logs are retained for 90 days (default)" -ForegroundColor Gray
Write-Host " • Can be extended to 1 year with E5 license" -ForegroundColor Gray
Write-Host " • Search logs via: Purview Compliance Portal > Audit" -ForegroundColor Gray
Write-Host " • Allow up to 24 hours for logging to fully activate" -ForegroundColor Yellow
exit 0
}
catch {
Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Disables unified audit log (NOT RECOMMENDED!)
#>
try {
Write-Host "⚠️ WARNING: Disabling audit log is a SECURITY RISK!" -ForegroundColor Red
Write-Host "This will prevent security investigations and compliance audits`n" -ForegroundColor Red
Write-Host "Connecting to Exchange Online..." -ForegroundColor Gray
Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false -ErrorAction Stop
Write-Host " ⚠️ Unified Audit Log disabled" -ForegroundColor Yellow
exit 0
}
catch {
Write-Host "ERROR: $_" -ForegroundColor Red
exit 2
}
}
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Usage:" -ForegroundColor Yellow
Write-Host " -Monitoring Check if audit log is enabled" -ForegroundColor Gray
Write-Host " -Remediation Enable audit log" -ForegroundColor Gray
Write-Host " -Revert Disable audit log (NOT RECOMMENDED!)" -ForegroundColor Red
}
}
catch {
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Kritiek - Zonder audittrail kan een organisatie incidenten niet onderzoeken, compliance schendingen niet traceren en loopt zij juridische aansprakelijkheid risico.
Management Samenvatting
Schakel unified audit logging in (standaard ingeschakeld, verificatie vereist). Essentieel voor beveiligingsonderzoeken. Voldoet aan CIS 5.1.1 L1, BIO 12.04, AVG Artikel 32. Verificatie: 1 uur.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE