L1 BIO 16.01 CIS 1.14

Azure: Beheerders Waarschuwen Bij Wachtwoordresets Van Admin-accounts

📅 2025-10-29
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Beheerders binnen Nederlandse ministeries en gemeenten moeten onmiddellijk een waarschuwing ontvangen zodra een privileged account een wachtwoordreset ondergaat, omdat dit vaak het eerste tastbare signaal is dat een aanvaller voet aan de grond probeert te krijgen.

Aanbeveling
Verplicht voor alle Entra ID-tenants binnen de Nederlandse Baseline voor Veilige Cloud dat elke wachtwoordreset van een beheerdersaccount automatisch een gecontroleerde melding verstuurt naar SOC, CISO en change-coördinatoren, inclusief processen voor verificatie en escalatie.
Risico zonder
High
Risk Score
7/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Azure

Ongeautoriseerde wachtwoordwijzigingen bij rollen zoals Global Administrator, Security Administrator of Exchange Administrator vormen een directe route naar volledige tenantcompromittering. Zonder directe melding verliezen SOC-teams cruciale minuten om te verifiëren of het om geautoriseerde onderhoudswerkzaamheden gaat, kunnen auditors de chain of custody niet reconstrueren en blijft er geen aantoonbaar mechanisme om AVG-artikel 32 en BIO-paragraaf 16.01 na te leven.

PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph

Implementatie

Deze maatregel richt zich op het configureren van Entra ID- en Microsoft Graph-workflows die elke reset van een beheerdersaccount registreren, valideren aan de hand van change-managementgegevens en onmiddellijk doorzetten naar beveiligingsmailboxen, SIEM-platformen en servicemanagement-tools. De aanpak combineert beleidsconfiguratie, platformautomatisering en procesafspraken zodat cloudplatforms en werkplekken conform de vereisten van de Nederlandse Baseline voor Veilige Cloud worden beschermd.

Vereisten

Het fundament voor deze maatregel is een Entra ID P1-tenant waarin role-based access control, Privileged Identity Management en auditing zijn geactiveerd. Alleen met die licentiecombinatie kunnen organisaties regelsets aanmaken die specifieke administratorrollen volgen, gebeurtenislogboeken naar Microsoft Graph streamen en notificaties laten versturen zonder dat eindgebruikers extra connectoren hoeven te installeren. Controleer daarom of alle betrokken beheeraccounts aan het licentieprofiel voldoen en of er geen shadow-accounts buiten de centrale identity lifecycle om bestaan, want inconsistenties leiden tot hiaten in de dekking.

Daarnaast is een actueel overzicht van alle accounts met privileged rol noodzakelijk. Registreer per rol wie de eigenaar is, welke change window van toepassing is en welk kanaal gebruikt wordt voor escalaties. Dit register moet gekoppeld zijn aan Privileged Identity Management, zodat tijdelijke toewijzingen automatisch dezelfde notificatieregel erven. Zonder deze koppeling ontvangen tijdelijke noodaccounts geen waarschuwingen en ontstaat er een blinde vlek in het forensische spoor.

Voor notificatiekanalen is minimaal één beveiligde mailbox nodig die wordt bewaakt door het SOC, plus een webhook of Logic Apps-connector die berichten richting SIEM of ticketing verstuurt. Richt DMARC, DKIM en SPF in zodat e-mails niet door spamfilters worden geblokkeerd, en borg dat het gebruikte service-account modern authentication ondersteunt. Wanneer organisaties prefereren dat berichten ook via Microsoft Teams of sms binnenkomen, moet er een secundair kanaal worden beschreven inclusief throttling- en validatiemechanismen.

Procesmatig vereist de maatregel dat change- en incidentmanagement elkaar kruisen. Elke geplande wachtwoordreset krijgt een change-ID die vooraf gedeeld wordt met het SOC, zodat binnenkomende meldingen direct kunnen worden gereconcilieerd met geplande werkzaamheden. In dezelfde procedure staat wie binnen vijf minuten reageert, hoe de identiteit van de uitvoerende beheerder wordt bevestigd en welke stappen genomen worden als er geen match is met de changekalender.

Documenteer bovendien de juridische en compliancevoorwaarden. Het beleid moet beschrijven dat persoonsgegevens alleen voor beveiligingsdoeleinden worden verwerkt, hoe lang meldingen bewaard blijven en welke rollen toegang tot de logs hebben. Hierbij horen exportpolicies richting het Nationaal Archief of andere bewaarplichtprocessen, plus verwijzingen naar AVG-DPIA's en BIO-controles zodat auditors dezelfde bron kunnen gebruiken tijdens reviews.

Reserveer daarnaast specifieke capaciteit binnen het identity- en securityteam om de meldingen daadwerkelijk te verwerken. Dit betekent dat roosters moeten worden afgestemd, dat escalaties bij afwezigheid van primaire beheerders helder zijn en dat er een overzicht bestaat van contactgegevens die buiten kantooruren bereikbaar zijn. Neem deze afspraken op in het operationeel level agreement met leveranciers of shared service centra, zodat ook externe partijen aan dezelfde responsetijden gebonden zijn. Wanneer meerdere organisaties een tenant delen, bijvoorbeeld binnen een werkorganisatie of samenwerkingsverband, wordt in deze stap vastgelegd wie juridisch eigenaar is van de beheerdersaccounts en wie beslissingsbevoegd is tijdens een incident.

Tot slot is een gecontroleerde testomgeving onmisbaar. Deze bevat minimaal één sandbox-tenant of dedicated testsubscriptie waarin dezelfde beleidsinstellingen draaien, inclusief connectors naar het SIEM. Hier worden nieuwe versies van scripts of Graph-permissies eerst gevalideerd, zodat productietenants geen risico lopen. Testscenario's omvatten succesvolle resets, geforceerde mislukte resets en scenario's waarin een aanvaller probeert het notificatieproces te omzeilen, zodat de organisatie weet dat de technische en organisatorische randvoorwaarden robuust zijn.

Controleer tenslotte of de benodigde tooling beschikbaar is binnen de beheerwerkplekken. Denk aan bijgewerkte PowerShell-modules, toegang tot Microsoft Graph Explorer voor ad-hocvalidaties en veilige opslag van API-credentials. Maak deze randvoorwaarden onderdeel van het standaard werkplekbeeld voor beheerders zodat zij op elke locatie, ook binnen een Rijkskantoor met strenge netwerksegmentatie, hetzelfde niveau van zichtbaarheid kunnen leveren.

Wanneer organisaties meerdere tenants beheren, bijvoorbeeld een productie-, test- en opleidingsomgeving, moet voor elke tenant expliciet worden vastgelegd waar notificaties naartoe worden gestuurd en wie verantwoordelijk is voor opvolging. Beschrijf in het architectuurdocument hoe de meldstromen elkaar niet doorkruisen en hoe een escalatie in tenant A niet per ongeluk wordt genegeerd omdat het team op tenant B focust. Dit vraagt om duidelijke naamgevingsconventies voor distributielijsten, een centraal overzicht in het ISMS en een maandelijkse check waarin ownership wordt bevestigd.

Neem bovendien leveranciers en ketenpartners op in de afspraken. Shared service centra, regionale samenwerkingsorganen of externe cloudbeheerders moeten aantonen dat zij dezelfde notificaties ontvangen als de interne teams. Leg contractueel vast dat zij binnen dezelfde SLA reageren, dat zij bewijs leveren van eigen monitoring en dat zij wijzigingen aan distributielijsten niet zonder toestemming doorvoeren. Zo blijft de regie bij de eigen organisatie, terwijl externe partijen toch kunnen meewerken aan noodzakelijke onderhoudsacties.

Om beheerdersmeldingen bij wachtwoordresets betrouwbaar te activeren zijn er meerdere randvoorwaarden die verder reiken dan een simpele licentiecheck. De organisatie moet allereerst beschikken over Microsoft Entra ID Premium P1 of hoger voor alle accounts met administratieve rollen, zodat de notificatiefuncties en de onderliggende auditlogboeken permanent beschikbaar zijn. Daarnaast is het noodzakelijk dat het tenant-beheerteam minimaal twee Global Administrators heeft om configuraties veilig in paren te kunnen doorvoeren volgens het vier-ogenprincipe; hiermee voorkom je dat een kwaadwillende enkelvoudige beheerder het meldingsmechanisme kan uitschakelen voordat hij of zij het wachtwoord van een collega reset. Verder moet er een actueel overzicht bestaan van alle roltoewijzingen, inclusief tijdelijke rechten via Privileged Identity Management, zodat exact bekend is welke accounts onder het meldingsbeleid vallen en welke uitzonderingen eventueel gemotiveerd moeten worden.

Naast identiteitslicenties is een betrouwbare e-mailinfrastructuur onmisbaar. De meldingen worden standaard verzonden via Microsoft 365 Exchange Online, dus er moet een beleid liggen dat garandeert dat het SOC-mailboxen, het CERT, dienstdoende CISO’s en eventueel externe dienstverleners bereikbaar houdt, ook buiten kantooruren. Overweeg daarom het gebruik van verzendlijsten met parallelle afleveradressen (bijvoorbeeld een SIEM-ingestietje en een Teams-kanaal) om redundantie in te bouwen. Het netwerk moet uitgaande SMTP-communicatie naar Microsoft-diensten toestaan, en spamfiltering moet deze specifieke notificaties whitelisten zodat ze nooit in quarantaine terechtkomen.

De organisatorische volwassenheid is minstens zo belangrijk als de technische component. Er moeten duidelijke runbooks bestaan die beschrijven wie welke stap zet wanneer een melding binnenkomt: wie belt de betrokken beheerder, wie bekijkt de auditlogs, en wie blokkeert indien nodig het account. Zonder die afspraken worden meldingen al snel genegeerd of raken ze versnipperd in mailboxen. Leg tevens vast hoe meldingen gekoppeld worden aan bestaande incidenttypen in het SIEM of ITSM-platform, zodat er automatisch een ticket wordt geopend met de juiste prioriteit en de relevante bewijsstukken.

Tot slot vereist de maatregel dat logging- en rapportagetools zijn afgestemd op de Nederlandse Baseline voor Veilige Cloud. De organisatie moet de output van het script `notify-admins-password-resets.ps1` kunnen draaien binnen de lokale beheerde PowerShell-runbooks, met werkende Microsoft Graph-verbindingen en het Microsoft.Graph PowerShell-modulepakket in de juiste versie. Zonder deze componenten kan de verificatie van de instelling niet worden geautomatiseerd en bestaat het risico dat een foutieve wijziging onopgemerkt blijft. Maak daarom van tevoren een testtenant of een sandboxgroep beschikbaar waarin configuratiewijzigingen veilig gevalideerd kunnen worden voordat ze naar productie gaan.

Door deze voorbereidende stappen te combineren met heldere communicatie naar bestuurders ontstaat draagvlak om de meldingen consequent te hanteren. Informeer de CIO-raad en de Chief Information Security Officer over de impact op hun teams, licht toe welke rapportages zij mogen verwachten en benadruk dat het doel niet is om fouten te bestraffen maar om misbruik sneller te ontdekken. Deze cultuurcomponent is essentieel om de technische vereisten daadwerkelijk tot leven te brengen.

monitoring

Gebruik PowerShell-script notify-admins-password-resets.ps1 (functie Invoke-Monitoring) – Voert configuratiecontroles en near-real-time validaties uit door Microsoft Graph, Entra ID en Azure Monitor te raadplegen en de resultaten veilig vast te leggen voor SOC en auditors..

Effectieve monitoring begint bij het centraliseren van telemetrie. Alle Entra ID auditlogboeken waarin ResetPassword of ChangePassword events voorkomen worden via Diagnostic Settings naar een Log Analytics workspace gestuurd. Daarin wordt per record vastgelegd welke beheerder de actie uitvoerde, welke client werd gebruikt, welke Conditional Access policies van kracht waren en of de actie via de portal, PowerShell of een legacyprotocol plaatsvond. Door ook het IP-adres, device-id en MFA-status op te slaan ontstaat een compleet beeld waarmee het SOC gedrag per rol kan profileren. Het gekoppelde PowerShell-script controleert elk kwartier of de notificatie-instelling nog actief is, leest de meest recente auditregels uit Microsoft Graph en verrijkt deze gegevens met referentie-informatie uit het change-register. De output wordt in JSON en CSV opgeslagen zodat zowel geautomatiseerde playbooks als auditors dezelfde dataset kunnen raadplegen. Wanneer er een reset zonder geldig change-nummer wordt gedetecteerd, markeert de routine deze als hoog risico en publiceert zij een adaptive card in Microsoft Teams voor directe triage. De ruwe events worden gelinkt aan Azure Monitor alerts die drempels genereren, bijvoorbeeld als binnen tien minuten meerdere resets op hetzelfde account plaatsvinden of wanneer dezelfde bron-IP eerder in het Threat Intelligence register is gezien. Vervolgens stuurt een Logic App de context naar het SIEM waar een Kusto Query Language-regel automatisch aanvullende loggegevens bij elkaar zoekt, zoals eerdere inlogpogingen, Intune device compliance-status en eventuele Defender for Cloud-waarschuwingen. Hierdoor wordt monitoring een geïntegreerde keten in plaats van een verzameling losse alerts. Daarnaast definieert het team detectiepatronen gebaseerd op MITRE ATT&CK-technieken zoals Credential Access en Account Manipulation. Elke regel beschrijft welke combinatie van signalen een waarschuwing vormt, bijvoorbeeld een wachtwoordreset direct na een gefaalde MFA-prompt of een reset terwijl het account via PIM nog niet geactiveerd was. Door deze kennisregels te combineren met context uit Defender for Identity ontstaat een rijke dataset waarmee analisten sneller onderscheid maken tussen routinewerk en afwijkingen. De uitkomst wordt periodiek afgestemd met het Nationaal Cyber Security Centrum zodat indicatoren van lopende dreigingscampagnes eenvoudig kunnen worden toegevoegd. Omdat wachtwoordresets ook tijdens crisissituaties worden uitgevoerd, bevat het monitoringsproces een veld waarmee de verantwoordelijke dienst automatisch kan aangeven dat een evenement verwacht was. De bevestiging komt terecht in een ServiceNow- of TOPdesk-ticket zodat het SOC kan aantonen dat het evenement beoordeeld is. Elke maand genereert het script een rapport waarin per rol het aantal resets, de gemiddelde reactietijd en de herkomstlocaties worden opgesomd. Dit rapport ondersteunt de kwartaalgesprekken met CISO's en maakt zichtbaar of aanvullende maatregelen, zoals uitbreiding van phishing-resistente MFA, noodzakelijk zijn. Ten slotte borgt de monitoring dat het control doeltreffend blijft. Het script controleert of de notificatie-e-mailbox nog berichten kan afleveren, of de gebruikte connectorsecret niet verlopen is en of de lijst met geadresseerden overeenkomt met het actuele rooster. Indien een controle faalt, wordt een separaat incident aangemaakt zodat procesafwijkingen net zo veel aandacht krijgen als technische bedreigingen. Door deze combinatie van telemetrie, automatisering en governance ontstaat een duurzaam monitoringsbeeld dat binnen vijftien seconden inzicht biedt in elke poging om het wachtwoord van een beheerdersaccount te wijzigen.

De PowerShell-runbook `Invoke-Monitoring` controleert volgens een vaste cadans of de optie "Notify all admins when other admins reset their password" nog is ingeschakeld. Het script haalt via Microsoft Graph zowel de configuratiestatus als de recente notificatie-events op en vergelijkt die met de gewenste waarden. Resultaten worden opgeslagen in een centrale storage-account en via webhooks naar het ITSM-platform gestuurd. Door de check dagelijks of zelfs elk uur te plannen, detecteer je ongeautoriseerde wijzigingen vrijwel realtime. Voeg health-checks toe die fouten melden wanneer de Graph-verbinding, het gebruikte serviceaccount of de Exchange-bezorging hapert, zodat monitoring niet stilzwijgend wegvalt.

Operationele monitoring draait niet alleen om techniek, maar ook om de mens achter de knoppen. Het SOC moet elke melding classificeren: betrof het een geplande reset tijdens onboarding, een geautomatiseerde lifecycle-actie of een onverwachte handmatige ingreep? Door deze triage systematisch vast te leggen, kan het team rapporteren over trends, bijvoorbeeld een piek in resets nadat een nieuwe beheerder is ingestroomd. Combineer de meldingsdata met HR-gegevens en change-calendars om false positives te verminderen, terwijl onbekende resets juist naar voren worden geschoven als potentiële incidenten. Maak gebruik van automatiseringsregels die direct een Conditional Access-blokkade of een tijdelijke PIM-deactivatie inzetten wanneer een reset afkomstig is van een niet-geautoriseerd IP-bereik.

Test ten minste per kwartaal de volledigheid van het monitoringsproces door een gecontroleerde wachtwoordreset uit te voeren vanuit een secundaire beheerder, bij voorkeur vanuit een ander netwerksegment. Documenteer hoe lang het duurde voordat de melding arriveerde, wie de melding opmerkte en welke stappen volgden. Deze tabletop- en live-tests sluiten aan bij de eisen uit de Nederlandse Baseline voor Veilige Cloud: alleen door aantoonbaar te oefenen weet je zeker dat de notificaties in een reële aanvalssituatie de juiste respons activeren. Combineer de testresultaten met lessons learned uit eerdere incidenten, zodat het monitoringsproces voortdurend wordt aangescherpt.

Door monitoring als integraal onderdeel van het identiteitsprogramma te positioneren, ontstaat een continue leercyclus: instellingen worden bewaakt, afwijkingen leiden tot snelle incidentrespons en de inzichten uit incidenten sturen verbeteringen in licenties, rollen en runbooks. Daarmee voldoet de organisatie aan de verwachting uit de Nederlandse Baseline voor Veilige Cloud dat kritieke identiteitsinstellingen nooit een black box mogen zijn, maar voortdurend onder toezicht staan.

Implementatie

Gebruik PowerShell-script notify-admins-password-resets.ps1 (functie Invoke-Implementation) – Automatiseert configuratiestappen voor notificaties, diagnostische instellingen en workflowintegraties zodat implementaties herhaalbaar en auditeerbaar blijven..

De implementatie start altijd in een gecontroleerde change-omgeving. Documenteer de scope, benoem alle doelaccounts en beslis vooraf of meldingen naar alle Global Administrators, een aparte meldingsgroep of een combinatie van beiden moeten worden verzonden. Activeer vervolgens Just-In-Time toegang via Privileged Identity Management voor de beheerder die de wijziging uitvoert, zodat de audittrail onomstotelijk vastlegt wie welke actie heeft verricht. Zodra de tijdelijke rol is geactiveerd, open je het Microsoft Entra-beheerportaal en navigeer je naar "Bescherming" → "Wachtwoordreset" → "Notificaties". Hier schakel je zowel de optie om beheerders te waarschuwen wanneer andere beheerders hun wachtwoord resetten als de optie om gebruikers te informeren wanneer hun eigen wachtwoord wordt gewijzigd, zodat het volledige spectrum van notificaties is afgedekt.

  1. Begin met het voorbereiden van het change-request en het aanwijzen van een verantwoordelijke beheerder die de configuratie uitvoert. In het Entra-beheercentrum navigeert de beheerder naar Password Reset > Notifications en schakelt hij de optie "Notify all admins when other admins reset their passwords" in. Documenteer welke administratorrollen onder deze notificatie vallen en koppel aan elke rol de juiste distributielijst. Controleer aansluitend of alle betrokken accounts moderne verificatie gebruiken en of er geen legacy app-wachtwoorden actief zijn die de resetmelding kunnen omzeilen.

    Activeer vervolgens Diagnostic Settings zodat alle relevante auditgebeurtenissen naar Log Analytics en naar een beveiligde storage-account worden gestuurd. Door meerdere bestemmingen te configureren houdt de organisatie zowel een operationeel dashboard als een forensisch archief bij. In dezelfde sessie verifieert de beheerder via PowerShell dat de Graph-permissies AuditLog.Read.All en Policy.Read.All aanwezig zijn voor het automatiseringsaccount; deze stap voorkomt dat toekomstige controles mislukken omdat een secret is verlopen of een permissie is ingetrokken.

    Plan daarna een gezamenlijke sessie met SOC en servicedesk waarin het nieuwe proces wordt doorgenomen. Hierin worden de mailtemplates gedeeld, oefenen teams hoe zij een ontvangst bevestigen en leren zij de runbooks die beschrijven hoe te handelen bij onverwachte resets. Door het proces direct te koppelen aan bestaande incidentcategorieën in ServiceNow of TOPdesk kunnen meldingen automatisch worden geclassificeerd en toegewezen. Leg tenslotte vast hoe vaak de configuratie wordt herzien, wie verantwoordelijk is voor het testen van de meldingsstroom en welke fallback beschikbaar is als de primaire mailbox onbereikbaar is.

    Veranker de configuratie vervolgens in de configuration management database zodat duidelijk is welke assets verantwoordelijk zijn voor de instelling. Koppel de asset aan de juiste eigenaar, voeg links naar de scripts toe en registreer de afhankelijkheden met e-maildistributielijsten, SIEM-workspaces en Key Vault-secrets. Deze registratie maakt het eenvoudiger om impactanalyses uit te voeren wanneer er organisatorische wijzigingen optreden, bijvoorbeeld een herinrichting van het SOC of een migratie naar een andere tenant.

    Werk tenslotte instructies uit voor uitzonderingssituaties. Denk aan scenario's waarin externe leveranciers tijdelijk beheerrechten nodig hebben of waarin een crisisteam in de nacht een reset moet uitvoeren. In de instructie staat hoe zij vooraf toestemming vragen, hoe zij een change-ID ontvangen en hoe het SOC deze ID gebruikt om de melding als geplande activiteit te markeren. Door dit proces te automatiseren via een Power App hoeven beheerders geen e-mails meer uit te wisselen en blijft elke stap traceerbaar.

    Sluit de implementatie af met een gedetailleerde acceptatietest waarin zowel technische controles als procescontroles worden doorlopen. Pas na een geslaagde test ondertekent de proceseigenaar het opleverdocument en wordt de maatregel opgenomen in de productiekalender, inclusief geplande herzieningen en verantwoordelijkheden.

    Vergeet niet om alle configuratiestappen te registreren in een forensisch bruikbaar logboek. Maak tijdens de wijziging screenshots, noteer exacte timestamps en koppel het change-ID aan een Teams-kanaal waarin het implementatieteam live verslag doet. Dit materiaal versnelt audits en helpt bij het oplossen van incidenten omdat precies zichtbaar is welk account welke instelling heeft gewijzigd.

    Zodra de configuratie in productie staat, plant de change manager een evaluatie waarin gebruikers, servicedesk en SOC feedback geven. Noteer knelpunten zoals ontbrekende distributielijsten of vertraging in mailbezorging en zet verbeteracties klaar voor de volgende sprint. Door iteratief te werken blijft de maatregel afgestemd op veranderende personeelsbestanden en reorganisaties.
  2. Na de basisconfiguratie volgt de verdieping waarin automatisering en kwaliteitsborging worden uitgerold. Ontwerp een Logic App die de notificatie-e-mail of webhook opvangt, de payload verrijkt met gegevens uit het change-register en vervolgens parallel acties uitvoert: het aanmaken van een incidentticket, het posten van een adaptieve kaart in het SOC-kanaal en het bijwerken van een Power BI dataset voor trendanalyse. Voeg validatiestappen toe waarin de app controleert of het bericht daadwerkelijk door Microsoft is ondertekend en of de betrokken rol voorkomt op de lijst met kritieke privileges. Wanneer de Logic App een afwijking detecteert, bijvoorbeeld omdat het bericht vanuit een onbekende IP-range is verzonden, wordt de melding geblokkeerd en krijgt het SOC een waarschuwing dat mogelijk spoofing plaatsvindt.

    Voer vervolgens resiliency-tests uit. Simuleer scenario's waarin een beheerder het wachtwoord reset terwijl hij offline werkt, waarin meerdere resets tegelijk plaatsvinden of waarin het notificatiekanaal tijdelijk niet beschikbaar is. Documenteer hoe de organisatie in die gevallen overschakelt op alternatieve kanalen, zoals een sms-gateway of een noodmailbox binnen een andere tenant. Integreer tot slot een periodieke self-test die elk kwartaal automatisch een gecontroleerde wachtwoordreset uitvoert en bevestigt dat zowel e-mail, Teams en ticketing een melding ontvangen. De resultaten worden gedeeld met de CISO en opgenomen in het kwaliteitsregister zodat duidelijk is dat de implementatie voortdurend wordt gevalideerd.

    Breid de automatisering uit met een kwaliteitscontrole waarin het script wekelijks de configuratie exporteert, een hash berekent en deze vergelijkt met de referentie in het baselineregister. Bij afwijkingen wordt automatisch een rollback-playbook gestart dat de vorige configuratie terugplaatst en een auditlog vastlegt. Zo wordt voorkomen dat een onopgemerkte wijziging wekenlang actief blijft.

    Investeer ook in bewustwording bij de doelgroepen die de meldingen ontvangen. Het SOC ontwikkelt korte e-learningmodules en tabletopoefeningen waarin scenario's worden gespeeld zoals phishingcampagnes op beheerders of supply-chainaanvallen waarbij een externe beheerder wordt misbruikt. Door elke oefening af te sluiten met een lessons-learnedrapportage groeit de maturiteit en kunnen de configuraties worden aangescherpt met bijvoorbeeld strengere Conditional Access policies of aanvullende notificatiekanalen voor kritieke rollen.

    Tot besluit worden prestatie-indicatoren ingericht die meten hoeveel meldingen binnen de afgesproken tijd zijn beoordeeld, hoeveel notificaties een vals-positieve oorzaak hadden en hoeveel verbeterpunten uit audits zijn opgevolgd. Deze indicatoren worden gedeeld in het kwartaaloverleg met de Chief Information Security Officer zodat de maatregel bestuurlijke aandacht houdt en tijdig extra capaciteit kan krijgen wanneer de belasting toeneemt.

    Leg daarnaast vast hoe de Logic App en het PowerShell-script zelf worden bewaakt. Configureer Application Insights of Azure Monitor alerts die waarschuwen zodra een run mislukt, een connector niet meer kan authenticeren of een externe afhankelijkheid zoals de mailgateway traag reageert. Door deze meta-monitoring te automatiseren blijft ook het meldingsmechanisme zelf onder toezicht.

    Maak tot slot afspraken met het crisismanagementteam over het gebruik van de meldingen tijdens grote incidenten. Definieer hoe het bericht wordt gedeeld binnen het Nationaal Crisiscentrum, welke aanvullende logging moet worden verzameld en hoe lessons learned terugvloeien naar de standaardconfiguratie. Zo blijft de implementatie toekomstvast, ook wanneer dreigingsniveaus veranderen.

Voer daarna het PowerShell-script `Invoke-Implementation` uit. Dit script controleert eerst of alle vereiste modules en API-toegang aanwezig zijn, waarna het instellingsobject via Microsoft Graph wordt aangepast naar de gewenste configuratie. Het script legt de wijziging vast in een configuration-as-code repository door de output in JSON-formaat te exporteren, zodat auditors later exact kunnen zien welke waarden zijn toegepast. Gebruik de parameter `-WhatIf` in de testfase om te bevestigen dat alleen de bedoelde eigenschappen worden gewijzigd en voeg het script toe aan de centrale runbookbibliotheek zodat het herhaalbaar beschikbaar is voor andere tenants of omgevingen.

Na configuratie voer je een end-to-end validatie uit. Reset met een secundaire beheerder het wachtwoord van een testbeheerder en controleer of alle ingestelde mailboxen, SIEM-kanalen en Teams-notificaties binnen maximaal één minuut een bericht ontvangen. Leg screenshots of loguitdraaien vast, want deze vormen de evidence voor audits volgens de Nederlandse Baseline voor Veilige Cloud. Test zowel de reset via het portaal als via PowerShell, omdat kwaadwillenden vaak automatisering inzetten om sporen te wissen. Controleer gedurende dezelfde sessie of het uitschakelen van de melding een alert triggert; zo verifieer je dat er een extra beschermingslaag bestaat tegen sabotage.

Sluit de implementatie af met governance-activiteiten: werk het identiteitsbeveiligingsbeleid bij, koppel het runbook aan het bestaande incidentresponsplan en plan periodieke herbeoordelingen in het wijzigingskalender. Informeer de servicedesk en het SOC via een kennisartikel over de betekenis van de nieuwe meldingen en de gewenste responstijd. Door deze nazorg expliciet onderdeel van de implementatie te maken, zorg je ervoor dat de technische instelling niet losgezongen raakt van de dagelijkse operatie maar daadwerkelijk bijdraagt aan het beveiligingsniveau dat de Nederlandse Baseline voor Veilige Cloud voorschrijft.

Compliance en Auditing

Het inrichten van beheerdersmeldingen bij wachtwoordresets levert directe bewijsvoering op voor meerdere controleraamwerken die door Nederlandse overheidsorganisaties worden gehanteerd. Binnen het CIS Microsoft Cloud Benchmark wordt control 1.14 expliciet ingevuld door aan te tonen dat elke wijziging aan beheerdersreferenties een alert produceert die actief wordt opgevolgd. De combinatie van configuratiescreenshots, scriptuitvoer en SIEM-logs vormt daarbij de benodigde artefacten voor auditors. In de BIO sluit de maatregel aan op hoofdstuk 16, waar incidentdetectie en -melding centraal staan. Door aantoonbaar te monitoren wie wachtwoorden van hooggeprivilegieerde accounts wijzigt, voldoet de organisatie aan het vereiste dat elke poging tot schending van vertrouwelijkheid of integriteit tijdig wordt ontdekt en gemeld aan het verantwoordelijke lijnmanagement.

  1. CIS Control 1.14 vereist dat organisaties wijzigingen aan privileged accounts detecteren en onmiddellijk onderzoeken. Door de Entra ID-notificaties verplicht te stellen, voldoet de organisatie aan de eis dat elke mislukte of geslaagde reset automatisch wordt gerapporteerd aan verantwoordelijke functionarissen. Het beleid beschrijft hoe meldingen maximaal vijf minuten na het event bij het SOC aankomen, welke contactpunten het bericht valideren en hoe incidenten worden geëscaleerd wanneer de reset niet in de changekalender staat. Deze werkwijze sluit aan bij de Nederlandse Baseline voor Veilige Cloud doordat zowel het technische signaal als de organisatorische opvolging ondubbelzinnig is vastgelegd.

    De implementatie ondersteunt bovendien de aanvullende CIS-aanbevelingen over logretentie en forensische analyse. Auditgegevens worden minimaal zeven jaar bewaard in een write-once-read-many-opslag, inclusief correlatie-ID's, clientinformatie en het resultaat van de eerste triage. Hierdoor kunnen security-onderzoekers en toezichthouders reconstructies maken zonder afhankelijk te zijn van individuele mailboxen. De maandelijkse rapportages tonen trends zoals het aantal resets per rol en het percentage resets dat als ongepland werd aangemerkt, waardoor bestuurders kunnen aantonen dat het controlemechanisme effectief is en continu wordt verbeterd.

    Voor auditors is het essentieel dat bewijs reproduceerbaar is. Daarom bevat de controle een beschrijving van de queries waarmee men aantoont dat er geen gemiste resets zijn geweest, inclusief sampledata en verwijzingen naar de bewaarlocatie. Tijdens de halfjaarlijkse ITGC-toetsing worden deze queries opnieuw uitgevoerd en wordt gecontroleerd of de resultaten overeenkomen met de gerapporteerde KPI's. Daarmee is de aansluiting tussen operationele monitoring en formele auditdoelen geborgd.

    Ook bestuurlijke rapportage krijgt aandacht: het CIO-office ontvangt een compact dashboard waarin de status van CIS 1.14 is opgenomen naast andere identity-controls. Door dezelfde dataset te gebruiken voor zowel operationele als tactische rapporten ontstaat één bron van waarheid die discussies over definities voorkomt. Eventuele afwijkingen worden met root-cause-analyses aangevuld zodat het management kan zien of extra investeringen, zoals uitbreiding van PIM-licenties of aanvullende monitoring, noodzakelijk zijn.

    Tot slot wordt de control gekoppeld aan het verbeterprogramma voor Zero Trust Identity. Door de meldingsketen onderdeel te maken van de maturity roadmap kunnen organisaties bij externe assessments aantonen dat zij niet alleen policies hebben geconfigureerd, maar ook aantoonbaar meten en bijsturen. Dit sluit aan bij de eisen van het ministerie van BZK om voortgangsrapportages te voorzien van concrete indicatoren en maakt de control schaalbaar naar andere workloads zoals Azure Privileged Access Groups.

    Daarnaast ondersteunt de control de eisen uit de Rijksoverheid Baseline Informatiebeveiliging 2023 waarin is opgenomen dat beheerdersactiviteiten moeten worden gelogd en beoordeeld. De meldingsrapporten laten zien dat elke wijziging is gezien en dat vervolgstappen zijn geregistreerd, waardoor auditors direct kunnen toetsen dat de verplichtingen rond logging en respons aantoonbaar zijn ingevuld.

    Bij ENSIA-verantwoordingen voor gemeenten levert deze maatregel rechtstreeks input voor de vragen over identiteitsbeheer en logging. Door het maandrapport en de SIEM-export als bijlage mee te sturen, hoeft de gemeente geen apart bewijsstuk meer op te stellen en kan de auditor sneller toetsen dat de control in de praktijk werkt.

    Voor organisaties die onder toezicht staan van De Nederlandsche Bank of de Autoriteit Persoonsgegevens laat dezelfde dataset zien dat kritieke identiteitswijzigingen continu worden gemonitord. Dit vergemakkelijkt sectorbrede toetsingen en vermindert de auditlast omdat één rapport aan meerdere eisen voldoet.
  2. Binnen BIO 16.01 staat dat organisaties een sluitende gebeurtenisregistratie moeten voeren voor beheerdershandelingen die de betrouwbaarheid, vertrouwelijkheid of beschikbaarheid van systemen beïnvloeden. De meldingen van beheerderswachtwoordresets vormen hiervoor een expliciet controlepunt: ze leveren bewijs dat kritieke toegangswijzigingen worden gezien, beoordeeld en zonodig direct teruggedraaid. In de procedure is vastgelegd hoe de CISO dit bewijs verwerkt in de risicoregisters en hoe auditdiensten kunnen aantonen dat de meldstroom onafgebroken beschikbaar is geweest.

    Daarnaast ondersteunt de maatregel de verplichtingen uit AVG artikel 32 en de BIO-paragrafen over continuïteit. Het rapportageproces beschrijft welke persoonsgegevens (naam beheerder, rol, timestamp) worden verwerkt, op welke grondslag dat gebeurt en hoe de gegevens na het bewaartermijn automatisch worden verwijderd. Door deze transparantie kan een organisatie tijdens audits overtuigend laten zien dat zij persoonsgegevens proportioneel gebruikt om beveiligingsincidenten te voorkomen. Combineer dit met een jaarlijkse toets waarin zowel juridische aspecten als technische configuraties worden geëvalueerd en documenteer de uitkomst in het baseline register. Daarmee is aangetoond dat de naleving structureel is geborgd en niet afhankelijk is van incidentele controles.

    De naleving vereist eveneens dat rollen en verantwoordelijkheden helder zijn beschreven. Het document "Procedure wachtwoordreset beheerders" benoemt de eigenaar, vervanger en escalatiepunt per organisatieonderdeel en beschrijft hoe zij samenwerken met externe leveranciers en het Rijksbrede CSC. Hierdoor is tijdens audits direct zichtbaar dat de verplichtingen uit BIO 3.02 over organisatie van informatiebeveiliging worden ondersteund door deze maatregel.

    Bewijsvoering wordt verder versterkt door het opnemen van controles in het interne auditplan. Elke auditperiode selecteert de onafhankelijke auditdienst steekproeven uit de resetmeldingen, controleert of de opvolging binnen de afgesproken tijd is geregistreerd en vergelijkt dit met het incidentdossier. Eventuele tekortkomingen leiden tot verbetermaatregelen die via het baseline-overleg worden opgevolgd, wat aantoont dat naleving een continu proces is.

    Tot besluit wordt de koppeling gemaakt met ketenpartners, zoals shared service centra of leveranciers die namens meerdere gemeenten beheer uitvoeren. Contractuele clausules verwijzen naar dezelfde meldingsvereisten en bepalen dat rapportages gedeeld worden met de eigenaar van de gegevens. Op die manier blijft de governance intact, zelfs wanneer meerdere partijen aan dezelfde tenant werken of wanneer taken worden uitbesteed aan een derde partij.

    Voor organisaties die deelnemen aan Rijksbrede of provinciale Security Operations Centers biedt de control bovendien een gezamenlijk referentiepunt. Elke deelnemer levert hetzelfde soort meldingsrapport aan, waardoor de coördinerende partij snel afwijkingen per gemeente of departement kan signaleren en gericht advies kan geven.

    Daarnaast sluit de maatregel aan op internationale raamwerken zoals NIS2 en ISO/IEC 27035, waarin snelle detectie en melding van beveiligingsincidenten centraal staan. Door de procesbeschrijving en de KPI's op te nemen in het Information Security Management System kunnen organisaties aantonen dat zij ook voor toekomstige wetgeving klaar zijn.

Ook vanuit AVG-perspectief is de instelling relevant. Wanneer een beheerder wachtwoorden reset, verwerkt hij of zij persoonsgegevens; organisaties moeten daarom kunnen aantonen dat dergelijke handelingen onder toezicht staan en dat mogelijke misstanden direct worden onderzocht. Documenteer in het privacyregister dat wachtwoordresets worden gelogd, gemonitord en beoordeeld, zodat de Functionaris Gegevensbescherming kan verifiëren dat passende technische en organisatorische maatregelen zijn getroffen conform artikel 32. Verwijs in dat register naar de exacte locatie in het SIEM waar meldingen worden opgeslagen, inclusief bewaartermijnen die aansluiten op het gestelde van zeven jaar.

Auditors hechten waarde aan herhaalbaarheid. Neem daarom in het ISMS op dat het PowerShell-script periodiek wordt uitgevoerd en dat de resultaten worden opgeslagen in een onveranderbaar logboek, bijvoorbeeld Azure Storage met immutability-lock. Voeg toe dat elk incident waarbij een ongeautoriseerde reset plaatsvindt binnen een vastgesteld termijn (bijvoorbeeld één werkdag) wordt geëscaleerd naar het CISO-overleg. Dit soort procedurele waarborgen maken aantoonbaar dat de controle niet alleen technisch aanwezig is, maar daadwerkelijk onderdeel vormt van de governancecyclus.

Tijdens audits moet men bovendien kunnen uitleggen hoe uitzonderingen worden beheerd. Sommige dienstverleners of geautomatiseerde processen hebben tijdelijke toegang nodig om wachtwoorden te resetten. Beschrijf in de uitzonderingsregisters hoe die toegang wordt aangevraagd, hoe lang deze geldig blijft en hoe additionele compenserende maatregelen (zoals intensieve logging of tijdelijke netwerksegmentatie) het risico mitigeren. Door deze context mee te leveren, kan de auditor beoordelen dat de organisatie bewust met risico’s omgaat in plaats van het beleid blind toe te passen.

Koppel de maatregel tevens aan rapportages richting departementale opdrachtgevers of toezichthouders. Stel kwartaalrapportages op waarin je beschrijft hoeveel resets zijn uitgevoerd, hoeveel meldingen als verdacht zijn geclassificeerd en welke vervolgacties zijn genomen. Onderbouw dat de meldingen maximaal 24 uur na het event zijn beoordeeld en leg uit welke verbeteracties voortkwamen uit de analyses. Deze transparantie laat zien dat de organisatie de principes van continue verbetering toepast, wat steeds vaker wordt geëist in contracten met shared service centers en ketenpartners.

Tot slot bewijst de maatregel naleving van aanvullende raamwerken zoals de Baseline Informatiebeveiliging Overheid 2023 en NEN-ISO/IEC 27001, waar expliciet wordt verlangd dat beheerdersrechten streng worden bewaakt. Door de meldingsfunctie te koppelen aan risicobeoordelingen en door aantoonbaar te documenteren dat alerts worden opgevolgd, toon je aan dat de organisatie het principe van least privilege niet alleen op papier voert, maar ook actief controleert in de dagelijkse operatie.

Remediatie

Gebruik PowerShell-script notify-admins-password-resets.ps1 (functie Invoke-Remediation) – Wanneer uit monitoring blijkt dat de notificatiefunctie is uitgeschakeld of geen berichten meer aflevert, start het SOC onmiddellijk het remediatie-runbook. Stap één is het isoleren van het risico: controleer via Microsoft Graph of er in de afgelopen 24 uur resets hebben plaatsgevonden en of het gebrek aan meldingen heeft geleid tot onbevestigde wijzigingen. Indien nodig blokkeert het SOC tijdelijk de betrokken beheeraccounts of dwingt het een wachtwoordreset af onder begeleiding van een tweede beheerder. Communiceer gelijktijdig met de CISO en de dienstverantwoordelijke zodat er bestuurlijke dekking is voor eventuele noodmaatregelen. Vervolgens heractiveert een senior identity-specialist de configuratie in het Entra-portaal en valideert hij via PowerShell dat de instelling daadwerkelijk is opgeslagen. Tegelijkertijd worden de notificatiekanalen getest door een gecontroleerde reset uit te voeren op een testaccount, waarna het SOC bevestigt dat e-mail, Teams en ticketing het bericht ontvangen. De specialist documenteert elke stap in het incidentdossier en koppelt deze aan het change-ID zodat auditors exact kunnen zien welke acties zijn uitgevoerd. Indien de test mislukt, gaat het runbook terug naar de stap waarin connectors en secrets opnieuw worden geregistreerd. Wanneer het probleem veroorzaakt werd door verlopen service-principals of ontbrekende Graph-permissies, wordt het automatiseringsaccount opnieuw aangemaakt met een kortere secret-rotatie en worden de nieuwe waarden veilig opgeslagen in Azure Key Vault. Het runbook beschrijft hoe deze wijziging wordt gecommuniceerd naar alle teams die afhankelijk zijn van dezelfde identiteit, zodat er geen andere scripts stilvallen. Als de oorzaak bij een menselijk proces ligt, bijvoorbeeld een beheerder die de instelling tijdens een wijziging onbedoeld uitschakelde, dan wordt een post-incidentreview gehouden waarin opleiding en tooling worden aangescherpt en waarin wordt onderzocht of aanvullende guardrails nodig zijn. Tot slot wordt een definitieve validatie uitgevoerd: het script Invoke-Remediation controleert de configuratie, leest de laatste auditrecords, vergelijkt de lijst met geadresseerden en genereert een rapport dat door de CISO wordt ondertekend. Pas wanneer dit rapport aangeeft dat alle controles groen zijn verklaard, wordt het incident gesloten. Op die manier blijft remediatie niet beperkt tot het technisch terugzetten van een instelling, maar omvat het een volledige keten van verificatie, documentatie en preventie. Daarna plant het team een follow-up waarin lessons learned worden vertaald naar verbeterde detectie. Denk aan het toevoegen van een second opinion-alert dat waarschuwt zodra de configuratie wijzigt, of het opnemen van een dagelijks health-checkrapport in de managementsamenvatting. Tijdens het volledige traject houdt het team de klok bij: binnen vijftien minuten moet de configuratie hersteld zijn, binnen dertig minuten moet de eerste managementupdate verstuurd zijn en binnen vier uur moeten de lessons learned zijn vastgelegd. Door de resultaten te delen binnen de vakgroep Chief Information Security Officers van de overheid profiteren andere organisaties mee en wordt het risico dat dezelfde fout elders optreedt verkleind..

Wanneer monitoring uitwijst dat meldingen zijn uitgeschakeld of dat notificaties niet aankomen, treedt het remediatieproces in werking. Start met het verzamelen van alle recente auditlogs om vast te stellen wie de wijziging heeft aangebracht en of er tegelijkertijd verdachte wachtwoordresets hebben plaatsgevonden. Activeer vervolgens het runbook `Invoke-Remediation`, dat de configuratie terugzet naar de gewenste staat, de status logt en automatische meldingen verstuurt naar het SOC en het CISO-team. Zorg dat het script draait onder een break-glass-account dat offline wordt bewaard, zodat kwaadwillenden het niet kunnen misbruiken om juist de beveiliging uit te schakelen.

Na technische herstelacties volgt een inhoudelijke analyse. Interview de betrokken beheerder of leverancier om te bepalen of het uitschakelen van de melding per ongeluk of bewust is gebeurd. Documenteer de bevindingen in het incidentregister, koppel eventuele lessons learned terug aan het changeproces en voer aanvullende training uit als blijkt dat beheerders niet goed weten wat de impact van deze instelling is. Indien sprake is van een mogelijke compromise, combineer de remediatie met aanvullende maatregelen zoals het resetten van Global Administrator-wachtwoorden, het intrekken van sessies en het afdwingen van herauthenticatie via MFA.

Communicatie is een onlosmakelijk onderdeel van remediatie. Informeer de Chief Information Security Officer, de Functionaris Gegevensbescherming en, indien het incident impact heeft op ketenpartners, ook de contractuele contactpersonen. Stel een beknopt maar feitelijk meldrapport op waarin oorzaak, impact, verbeteracties en resterende risico’s worden beschreven. Gebruik dit rapport om besluitvorming te faciliteren over aanvullende maatregelen, zoals een bredere review van alle identiteitsinstellingen of het aanscherpen van change governance.

Sluit de remediatie af met een verificatiestap identiek aan de implementatietest: voer een gecontroleerde reset uit en controleer of alle meldingskanalen weer werken. Pas het ISMS en de risicoregisters aan wanneer blijkt dat aanvullende controls nodig zijn, bijvoorbeeld het instellen van alerts wanneer iemand het notificatieblad opent of wanneer de configuratie langer dan een uur afwijkt van de baseline. Zo blijft de organisatie aantoonbaar in control en voldoet zij aan de door de Nederlandse Baseline voor Veilige Cloud vereiste herstelcapaciteit.

Leg tot slot vast hoe lessons learned worden vertaald naar meetbare verbeteringen. Definieer key performance indicators zoals "percentage meldingen dat binnen 15 minuten is beoordeeld" en "aantal ongeautoriseerde resets per kwartaal" en bespreek deze tijdens het reguliere security- of risicocomité. Door remediatieresultaten standaard in deze governancefora te agenderen, groeit de volwassenheid van de maatregel en wordt het onderwerp zichtbaar voor bestuurders, wat essentieel is om prioriteit en middelen te behouden.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Notify Admins Password Resets .DESCRIPTION CIS Azure Foundations Benchmark - Control 1.34 Controleert dat admins worden genotificeerd bij password resets. .NOTES Filename: notify-admins-password-resets.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.34 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Notify Admins Password Resets" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Azure AD > Password reset > Notifications" -ForegroundColor Gray Write-Host " - Notify admins when other admins reset password = Yes" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: Admin password reset notifications" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Azure AD > Password reset > Notifications" -ForegroundColor Gray Write-Host " - Notify admins when other admins reset password = Yes" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: Admin password reset notifications" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder deze melding kan een aanvaller na credential theft onopgemerkt de wachtwoorden van Global Administrators wijzigen, waardoor MFA-tokens kunnen worden verwijderd, federatiesleutels aangepast en logging gemanipuleerd. Een gemist reset-evenement betekent dat AVG-artikel 32 en BIO 16.01 niet aantoonbaar zijn ingevuld, dat audits geen sluitend bewijs hebben en dat hersteluren toenemen doordat er geen tijdstempel of verantwoordelijke is vastgelegd.

Management Samenvatting

Configureer in Entra ID de optie om alle beheerders te waarschuwen wanneer andere beheerders een wachtwoord resetten, stuur de gebeurtenis via Microsoft Graph naar SIEM en ticketing, en combineer dit met automatische validatiescripts. Deze combinatie detecteert ongeautoriseerde credential-wijzigingen binnen minuten, bewaart auditmateriaal gedurende zeven jaar en ondersteunt naleving van CIS 1.14 en BIO 16.01. De implementatie vraagt vooral procesafstemming en kan in één dagdeel worden afgerond.