💼 Management Samenvatting
Privilege escalation-pogingen moeten worden gemonitord via Azure Activiteitenlogs om ongeautoriseerde verhoging van beheerdersrechten te detecteren en te voorkomen.
Aanbeveling
IMPLEMENTEER PRIVILEGE ESCALATION MONITORING
Risico zonder
High
Risk Score
8/10
Implementatie
3u (tech: 2u)
Van toepassing op:
✓ Azure
Ongeautoriseerde privilege escalation vormt een ernstige beveiligingsbedreiging waarbij aanvallers proberen beheerdersrechten te verkrijgen zonder autorisatie. Wanneer een aanvaller succesvol beheerdersrechten verkrijgt, heeft deze volledige controle over Azure-resources, wat kan leiden tot datalekken, service-onderbrekingen en compliance-schendingen. Zonder monitoring blijven deze aanvallen onopgemerkt, waardoor aanvallers onbeperkt toegang kunnen behouden en hun aanval kunnen uitbreiden naar andere systemen. Activiteitenlogmonitoring maakt het mogelijk om verdachte roltoewijzingen in real-time te detecteren, waardoor het beveiligingsteam onmiddellijk kan reageren voordat schade wordt aangericht.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.monitor
Connection:
Connect-AzAccountRequired Modules: Az.monitor
Implementatie
Deze maatregel monitort Azure Activiteitenlogs voor verdachte gebeurtenissen die wijzen op privilege escalation, met name roltoewijzingen aan bevoorrechte rollen zoals Owner, Contributor en User Access Administrator. Het systeem detecteert ook wijzigingen aan aangepaste rollen die mogelijk worden gebruikt om bevoorrechte toegang te verkrijgen, en roltoewijzingen op root scope-niveau die ongebruikelijk zijn en kunnen wijzen op ongeautoriseerde toegangsverhoging. Wanneer verdachte activiteiten worden gedetecteerd, worden automatische waarschuwingen gegenereerd die onmiddellijk worden verzonden naar het beveiligingsteam voor onderzoek en respons.
Vereisten
Voor de implementatie van privilege escalation monitoring zijn verschillende technische componenten noodzakelijk die moeten worden geconfigureerd voordat het monitoring systeem operationeel kan worden. Deze vereisten vormen de fundamentele infrastructuur waarop het gehele monitoring systeem draait, en zonder deze componenten is het onmogelijk om privilege escalation-pogingen te detecteren en te monitoren. Nederlandse overheidsorganisaties dienen daarom zorgvuldig te evalueren of alle vereiste componenten aanwezig zijn en correct zijn geconfigureerd voordat de implementatie wordt gestart.
De primaire technische vereiste betreft een Log Analytics Workspace, die fungeert als centrale opslaglocatie voor alle activiteitenloggegevens die worden verzameld vanuit de Azure-omgeving. Dit workspace moet worden geconfigureerd met passende retentietijden die voldoen aan compliance-vereisten, waarbij Nederlandse overheidsorganisaties typisch een retentietijd van minimaal zeven jaar moeten instellen om te voldoen aan archiveringsvereisten. Het workspace moet worden beveiligd met toegangsbeperkingen die ervoor zorgen dat alleen geautoriseerde personen toegang hebben tot de loggegevens, en moet worden geconfigureerd met versleuteling in rust om te zorgen dat gevoelige loggegevens worden beschermd tegen ongeautoriseerde toegang. Bovendien moet het workspace worden geconfigureerd met passende pricing tiers die rekening houden met het verwachte volume aan loggegevens, waarbij organisaties moeten overwegen om data retention policies te configureren die automatisch oude gegevens archiveren om kosten te beheren.
Activiteitenlog Diagnostische instellingen vormen de tweede kritieke vereiste, omdat deze instellingen bepalen welke activiteitenloggebeurtenissen worden verzameld en doorgestuurd naar het Log Analytics Workspace. Deze instellingen moeten worden geconfigureerd voor elk Azure-abonnement dat moet worden gemonitord, waarbij specifiek moet worden ingesteld dat alle autorisatiegebeurtenissen worden verzameld, inclusief roltoewijzingen, rolwijzigingen en andere gebeurtenissen die relevant zijn voor privilege escalation detectie. De diagnostische instellingen moeten worden geconfigureerd om gegevens te verzenden naar het Log Analytics Workspace, en moeten worden ingesteld met passende categorieën die ervoor zorgen dat alle relevante gebeurtenissen worden vastgelegd. Organisaties moeten ook overwegen om diagnostische instellingen te configureren voor resourcegroepen en individuele resources wanneer deze kritieke beveiligingsgevoelige workloads bevatten, om te zorgen dat alle relevante activiteiten worden gemonitord ongeacht het scope-niveau waarop ze plaatsvinden.
Naast de technische infrastructuur vereist privilege escalation monitoring ook organisatorische voorbereiding. Het beveiligingsteam moet worden getraind in het herkennen en reageren op privilege escalation waarschuwingen, en er moeten duidelijke procedures worden opgesteld voor het onderzoeken van verdachte activiteiten. Bovendien moeten organisaties overwegen om regelmatige audits uit te voeren om te verifiëren dat het monitoring systeem correct functioneert en dat alle relevante gebeurtenissen worden vastgelegd. Deze audits moeten worden gedocumenteerd en moeten worden gebruikt om het monitoring systeem continu te verbeteren. Ten slotte moeten organisaties ervoor zorgen dat er voldoende budget en resources beschikbaar zijn voor het onderhouden en verbeteren van het monitoring systeem op lange termijn.
Monitoring
Gebruik PowerShell-script privilege-escalation-monitoring.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van privilege escalation vereist continue analyse van Azure Activiteitenlogs om verdachte autorisatiegebeurtenissen te detecteren die wijzen op ongeautoriseerde verhoging van beheerdersrechten. Dit monitoringproces vormt een kritieke component van een robuuste beveiligingsstrategie voor Azure-omgevingen, waarbij organisaties proactief moeten handelen om te voorkomen dat aanvallers ongeautoriseerde toegang verkrijgen tot gevoelige resources. Het proces begint met het systematisch uitvoeren van queries op de Activiteitenlogs die specifiek zoeken naar Microsoft.Authorization/roleAssignments/write operaties, wat de standaard operatie is die wordt gebruikt wanneer roltoewijzingen worden gemaakt of gewijzigd. Deze queries vormen de basis voor alle verdere detectie en moeten daarom zorgvuldig worden ontworpen om zowel effectief als efficiënt te zijn.
De queries moeten worden geconfigureerd om te filteren op bevoorrechte rollen zoals Owner, Contributor en User Access Administrator, omdat toewijzingen aan deze rollen het grootste beveiligingsrisico vormen voor de organisatie. De Owner-rol verleent volledige controle over alle resources binnen een abonnement, inclusief de mogelijkheid om andere gebruikers rechten toe te kennen en te verwijderen. De Contributor-rol biedt bijna dezelfde rechten, met uitzondering van het beheren van toegang tot resources. De User Access Administrator-rol is bijzonder gevaarlijk omdat deze specifiek is ontworpen om toegang te beheren, waardoor aanvallers die deze rol verkrijgen zichzelf of anderen aanvullende rechten kunnen toekennen. Wanneer een dergelijke roltoewijzing wordt gedetecteerd, moet onmiddellijk een waarschuwing worden gegenereerd die wordt verzonden naar het beveiligingsteam voor onderzoek.
De waarschuwing moet uitgebreide relevante informatie bevatten die het beveiligingsteam in staat stelt om snel te bepalen of de activiteit legitiem is of een echte bedreiging vormt. Deze informatie omvat welke gebruiker de rol heeft toegewezen gekregen, inclusief de volledige gebruikersnaam en eventuele bijbehorende metadata zoals de afdeling of functie van de gebruiker. Daarnaast moet de waarschuwing aangeven wie de toewijzing heeft uitgevoerd, wat belangrijk is om te bepalen of de toewijzing is gedaan door een geautoriseerde beheerder of door een mogelijk gecompromitteerd account. Het scope-niveau waarop de toewijzing geldt is eveneens cruciaal, omdat toewijzingen op root scope-niveau of op abonnementsniveau veel gevaarlijker zijn dan toewijzingen op resourcegroep- of resourceniveau. Ten slotte moet de waarschuwing de exacte tijdstempel bevatten waarop de toewijzing heeft plaatsgevonden, zodat het beveiligingsteam de gebeurtenis kan correleren met andere activiteiten in de omgeving.
Bovendien moeten waarschuwingen worden geconfigureerd voor andere verdachte patronen die kunnen wijzen op privilege escalation-pogingen. Meerdere roltoewijzingen binnen een korte tijdsperiode, bijvoorbeeld binnen een uur of een dag, kunnen wijzen op een gecoördineerde aanval waarbij een aanvaller snel probeert toegang te verkrijgen tot meerdere resources. Roltoewijzingen buiten normale werkuren, zoals 's nachts of in het weekend, zijn eveneens verdacht omdat legitieme beheerders meestal tijdens kantooruren werken. Roltoewijzingen aan gebruikers die normaal gesproken geen bevoorrechte toegang nodig hebben voor hun dagelijkse werkzaamheden vormen ook een rode vlag, vooral wanneer deze gebruikers zichzelf de rechten toekennen of wanneer de toewijzing wordt gedaan door een account dat normaal gesproken geen beheerdersrechten heeft.
Het monitoringproces moet ook rekening houden met de context van roltoewijzingen om valse positieven te minimaliseren. Legitieme scenario's zoals het toewijzen van tijdelijke beheerdersrechten voor onderhoudsactiviteiten of het toewijzen van rechten aan nieuwe medewerkers moeten worden onderscheiden van verdachte activiteiten. Dit vereist dat het monitoring systeem gebruik maakt van machine learning of regelgebaseerde logica die rekening houdt met historische patronen en normale bedrijfsprocessen. Het systeem moet ook worden geconfigureerd met passende drempelwaarden die voorkomen dat te veel waarschuwingen worden gegenereerd, maar die wel alle echte bedreigingen detecteren. Regelmatige evaluatie en fine-tuning van deze drempelwaarden is essentieel om te zorgen dat het monitoring systeem effectief blijft naarmate de organisatie en de bedreigingsomgeving evolueren.
Implementatie
Gebruik PowerShell-script privilege-escalation-monitoring.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van privilege escalation monitoring begint met het configureren van Activiteitenlog Diagnostische instellingen die ervoor zorgen dat alle relevante autorisatiegebeurtenissen worden verzameld en doorgestuurd naar het Log Analytics Workspace. Deze configuratie moet worden uitgevoerd voor elk Azure-abonnement dat moet worden gemonitord, en moet worden ingesteld om alle categorieën van autorisatiegebeurtenissen te verzamelen, met speciale aandacht voor roltoewijzingen en rolwijzigingen. De diagnostische instellingen moeten worden geconfigureerd om gegevens te verzenden naar het eerder geconfigureerde Log Analytics Workspace, en moeten worden ingesteld met passende retentietijden die voldoen aan compliance-vereisten. Tijdens deze configuratie moeten organisaties ook overwegen om diagnostische instellingen te configureren voor resourcegroepen en individuele resources wanneer deze kritieke workloads bevatten, om te zorgen dat alle relevante activiteiten worden vastgelegd ongeacht het scope-niveau.
Na het configureren van de diagnostische instellingen moet een waarschuwingsregel worden gemaakt die specifiek monitort op Microsoft.Authorization/roleAssignments/write operaties, wat de standaard operatie is die wordt gebruikt wanneer roltoewijzingen worden gemaakt of gewijzigd. Deze waarschuwingsregel moet worden geconfigureerd in Azure Monitor en moet gebruik maken van Log Analytics queries om de Activiteitenlogs te doorzoeken op verdachte gebeurtenissen. De query moet worden geoptimaliseerd om alleen relevante gebeurtenissen te detecteren en moet worden getest om te zorgen dat deze correct werkt voordat deze in productie wordt genomen. De waarschuwingsregel moet worden geconfigureerd met passende drempelwaarden die voorkomen dat te veel valse positieven worden gegenereerd, maar die wel alle echte bedreigingen detecteren.
De waarschuwingsregel moet worden geconfigureerd met filters die specifiek monitoren op roltoewijzingen aan bevoorrechte rollen zoals Owner, Contributor en User Access Administrator, omdat toewijzingen aan deze rollen het grootste beveiligingsrisico vormen. Deze filters moeten worden ingesteld om te detecteren wanneer een van deze rollen wordt toegewezen aan een gebruiker, service principal of beheerde identiteit, ongeacht het scope-niveau waarop de toewijzing plaatsvindt. Bovendien moeten de filters worden geconfigureerd om ook te monitoren op wijzigingen aan aangepaste rollen die mogelijk worden gebruikt om bevoorrechte toegang te verkrijgen, en op roltoewijzingen op root scope-niveau die ongebruikelijk zijn en kunnen wijzen op ongeautoriseerde toegangsverhoging. De filters moeten flexibel genoeg zijn om verschillende scenario's te detecteren, maar specifiek genoeg om valse positieven te minimaliseren.
Ten slotte moet een actiegroep worden geconfigureerd die bepaalt wat er gebeurt wanneer een waarschuwing wordt geactiveerd. Deze actiegroep vormt de verbinding tussen de gedetecteerde bedreiging en de daadwerkelijke respons van het beveiligingsteam, en is daarom cruciaal voor de effectiviteit van het gehele monitoring systeem. De actiegroep moet worden ingesteld om e-mailmeldingen te verzenden naar het beveiligingsteam, zodat zij onmiddellijk op de hoogte worden gesteld van verdachte activiteiten. Deze e-mailmeldingen moeten een duidelijke subjectregel bevatten die aangeeft dat het om een privilege escalation waarschuwing gaat, en moeten alle relevante informatie bevatten die nodig is voor het beveiligingsteam om snel te kunnen handelen. De actiegroep moet ook worden geconfigureerd met aanvullende acties zoals SMS-meldingen voor kritieke waarschuwingen die buiten kantooruren plaatsvinden, of integraties met Security Information and Event Management systemen voor geavanceerde correlatie en analyse. Bovendien moeten actiegroepen worden geconfigureerd met passende escalatieprocedures die ervoor zorgen dat waarschuwingen worden afgehandeld, zelfs wanneer primaire contactpersonen niet beschikbaar zijn. De actiegroep moet worden getest om te zorgen dat meldingen correct worden verzonden en ontvangen, en moet worden gedocumenteerd zodat alle betrokken partijen weten wat er gebeurt wanneer een waarschuwing wordt geactiveerd.
Compliance en Auditing
Privilege escalation monitoring is essentieel voor naleving van verschillende beveiligingsstandaarden en -richtlijnen die vereisen dat organisaties verdachte activiteiten detecteren en monitoren. Deze maatregel helpt Nederlandse overheidsorganisaties te voldoen aan verplichte en aanbevolen beveiligingsvereisten die zijn opgesteld door toezichthouders en standaardisatie-organisaties, en vormt een kritieke component van een robuust beveiligingsprogramma dat bescherming biedt tegen zowel externe aanvallen als interne bedreigingen. Interne bedreigingen vormen een bijzonder groot risico voor overheidsorganisaties, omdat medewerkers met legitieme toegang vaak al beschikken over uitgebreide rechten en kennis van de systemen, waardoor het voor hen relatief eenvoudig is om hun toegang te escaleren zonder dat dit wordt opgemerkt.
De BIO Baseline Informatiebeveiliging Overheid bevat in thema 12.04 specifieke vereisten voor security logging, waarbij organisaties verplicht zijn om beveiligingsgebeurtenissen te loggen en te monitoren. Deze vereiste omvat het monitoren van autorisatiegebeurtenissen zoals roltoewijzingen, omdat deze gebeurtenissen kunnen wijzen op ongeautoriseerde toegangsverhoging of privilege escalation-pogingen. Privilege escalation monitoring implementeert deze vereiste door continue monitoring van Activiteitenlogs en automatische waarschuwingen wanneer verdachte activiteiten worden gedetecteerd. Naleving van BIO-vereisten is verplicht voor alle Nederlandse overheidsorganisaties, en niet-naleving kan leiden tot aanbevelingen van toezichthouders en mogelijke auditbevindingen tijdens beveiligingsaudits door de Autoriteit Persoonsgegevens en andere toezichthouders.
ISO 27001:2022 bevat in control A.12.4.1 specifieke vereisten voor gebeurtenissen logging en audittrails, waarbij organisaties verplicht zijn om beveiligingsgebeurtenissen te loggen, te monitoren en te analyseren. Deze control vereist dat organisaties een proces hebben voor het detecteren van verdachte activiteiten en het reageren op beveiligingsincidenten, waarbij privilege escalation monitoring een directe implementatie is van deze vereiste. De control vereist ook dat loggegevens worden beveiligd tegen wijziging en verwijdering, en dat loggegevens worden bewaard voor een passende periode die voldoen aan compliance-vereisten. Voor organisaties die ISO 27001-certificering nastreven of behouden, is implementatie van privilege escalation monitoring essentieel om te voldoen aan deze control tijdens certificeringsaudits, en om te kunnen aantonen dat passende maatregelen zijn genomen om beveiligingsgebeurtenissen te detecteren en te monitoren.
Naast BIO en ISO 27001 zijn er ook andere relevante standaarden en richtlijnen die privilege escalation monitoring vereisen of aanbevelen. De NIST Cybersecurity Framework bevat bijvoorbeeld specifieke controls voor identity management en access control die kunnen worden geïmplementeerd door middel van privilege escalation monitoring. Bovendien kunnen organisaties die werken met gevoelige gegevens of kritieke infrastructuren aanvullende compliance-vereisten hebben die specifiek privilege escalation monitoring vereisen. Het is daarom belangrijk dat organisaties hun specifieke compliance-vereisten evalueren en ervoor zorgen dat het monitoring systeem voldoet aan alle relevante standaarden en richtlijnen. Regelmatige compliance-audits moeten worden uitgevoerd om te verifiëren dat het monitoring systeem blijft voldoen aan alle vereisten en om eventuele tekortkomingen tijdig te identificeren en te adresseren.
Remediatie
Gebruik PowerShell-script privilege-escalation-monitoring.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer privilege escalation monitoring waarschuwingen genereert, is het van cruciaal belang dat het beveiligingsteam onmiddellijk actie onderneemt om de bedreiging te onderzoeken en te mitigeren. Het remediatieproces begint met het verifiëren van de waarschuwing om te bepalen of deze een echte bedreiging vertegenwoordigt of een valse positief is. Dit vereist dat het beveiligingsteam toegang heeft tot de volledige context van de roltoewijzing, inclusief wie de toewijzing heeft gemaakt, wanneer deze heeft plaatsgevonden, en wat de bedoeling was achter de toewijzing. Het team moet contact opnemen met de persoon die de toewijzing heeft gemaakt om te verifiëren of deze legitiem was, en moet ook contact opnemen met de gebruiker aan wie de rol is toegewezen om te bevestigen dat deze persoon op de hoogte was van de toewijzing en dat deze nodig was voor hun werkzaamheden.
Als de waarschuwing een echte bedreiging blijkt te zijn, moet het beveiligingsteam onmiddellijk de ongeautoriseerde roltoewijzing intrekken om te voorkomen dat de aanvaller verdere schade kan aanrichten. Dit kan worden gedaan door de roltoewijzing handmatig te verwijderen via de Azure Portal of door gebruik te maken van geautomatiseerde scripts die de roltoewijzing onmiddellijk intrekken wanneer een waarschuwing wordt geactiveerd. Het team moet ook alle andere activiteiten van het gecompromitteerde account onderzoeken om te bepalen of er aanvullende schade is aangericht, en moet alle relevante loggegevens bewaren voor forensisch onderzoek. Bovendien moet het team alle andere accounts en resources onderzoeken die mogelijk zijn gecompromitteerd als gevolg van de privilege escalation, en moet het team passende maatregelen nemen om te voorkomen dat vergelijkbare aanvallen in de toekomst succesvol zijn.
Na het intrekken van de ongeautoriseerde roltoewijzing moet het beveiligingsteam een grondig incident response proces doorlopen om te bepalen hoe de aanval heeft kunnen plaatsvinden en welke maatregelen moeten worden genomen om te voorkomen dat vergelijkbare aanvallen in de toekomst succesvol zijn. Dit proces omvat het analyseren van alle relevante loggegevens om de volledige reikwijdte van de aanval te begrijpen, het identificeren van eventuele zwakke plekken in de beveiligingsconfiguratie die hebben bijgedragen aan het succes van de aanval, en het ontwikkelen van aanbevelingen voor het verbeteren van de beveiligingspostuur. Het team moet ook alle relevante stakeholders informeren over het incident, inclusief het management, de compliance-afdeling, en eventuele externe partijen die mogelijk zijn getroffen. Ten slotte moet het team alle lessen die zijn geleerd uit het incident documenteren en gebruiken om het monitoring systeem en de beveiligingsprocessen te verbeteren, zodat toekomstige aanvallen sneller kunnen worden gedetecteerd en gemitigeerd.
Het is belangrijk om te benadrukken dat remediatie niet alleen reactief moet zijn, maar ook proactief. Organisaties moeten regelmatig proactieve maatregelen nemen om privilege escalation te voorkomen, zoals het implementeren van het principe van minimale bevoegdheden, het regelmatig controleren van roltoewijzingen, en het implementeren van automatische intrekking van tijdelijke bevoegdheden. Bovendien moeten organisaties ervoor zorgen dat alle medewerkers op de hoogte zijn van de risico's van privilege escalation en de procedures die moeten worden gevolgd wanneer zij bevoegdheden nodig hebben voor hun werkzaamheden. Door een combinatie van proactieve en reactieve maatregelen kunnen organisaties het risico op succesvolle privilege escalation-aanvallen aanzienlijk verminderen.
Compliance & Frameworks
- BIO: 12.04 - Beveiligingslogboekregistratie
- ISO 27001:2022: A.12.4.1 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Privilege Escalation Monitoring
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.41
Controleert monitoring van privilege escalation activiteiten.
.NOTES
Filename: privilege-escalation-monitoring.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.41
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Monitor
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Privilege Escalation Monitoring"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$alerts = Get-AzActivityLogAlert -ErrorAction SilentlyContinue
$result = @{ TotalAlerts = $alerts.Count; RoleAssignmentAlerts = 0 }
foreach ($alert in $alerts) {
$roleCondition = $alert.Condition.AllOf | Where-Object {
$_.Field -eq 'operationName' -and
$_.Equals -like '*Microsoft.Authorization/roleAssignments*'
}
if ($roleCondition) { $result.RoleAssignmentAlerts++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "Role Assignment Alerts: $($r.RoleAssignmentAlerts)" -ForegroundColor $(if ($r.RoleAssignmentAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.RoleAssignmentAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alerts voor role assignments" -ForegroundColor Yellow
Write-Host "Monitor privilege escalation activiteiten" -ForegroundColor Gray
}
}
else {
$r = Test-Compliance
Write-Host "`nPrivilege Escalation Alerts: $($r.RoleAssignmentAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "Role Assignment Alerts: $($r.RoleAssignmentAlerts)" -ForegroundColor $(if ($r.RoleAssignmentAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.RoleAssignmentAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alerts voor role assignments" -ForegroundColor Yellow
Write-Host "Monitor privilege escalation activiteiten" -ForegroundColor Gray
}
}
else {
$r = Test-Compliance
Write-Host "`nPrivilege Escalation Alerts: $($r.RoleAssignmentAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder privilege escalation monitoring blijven privilege escalation-aanvallen onopgemerkt, waardoor aanvallers onbeperkt toegang kunnen behouden en hun aanval kunnen uitbreiden. Ongeautoriseerde roltoewijzingen waarbij een aanvaller zichzelf bevoorrechte rollen toekent blijven ongedetecteerd, en verdachte verhogingspatronen genereren geen waarschuwingen. Compliance-vereisten: BIO 12.04, ISO 27001. Het risico is hoog omdat privilege abuse detection essentieel is voor een robuuste beveiligingspostuur.
Management Samenvatting
Privilege Escalation Monitoring: Monitor Activiteitenlogs voor roltoewijzingsgebeurtenissen, Waarschuw bij bevoorrechte roltoewijzingen (Owner, Contributor, User Access Administrator), Geautomatiseerde waarschuwingen naar security team. Activatie: Azure Monitor → Activiteitenlog waarschuwingen → Roltoewijzingsgebeurtenissen. Gratis (Activiteitenlogs zijn gratis). Verplicht BIO 12.04. Implementatie: 2-3 uur. Detecteert ongeautoriseerde bevoorrechte toewijzingen.
- Implementatietijd: 3 uur
- FTE required: 0.05 FTE