💼 Management Samenvatting
Deze beveiligingsregel is essentieel voor het waarborgen van een veilige cloudomgeving en beschermt tegen ongeautoriseerde toegang en datalekken.
Aanbeveling
IMPLEMENTEER DIAGNOSTISCHE LOGGING
Risico zonder
High
Risk Score
8/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure Key Vault
Zonder deze beveiligingsmaatregel kunnen er significante beveiligingsrisico's ontstaan die leiden tot datacompromittering, nalevingsschendingen en reputatieschade voor de organisatie.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.KeyVault
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.KeyVault
Implementatie
Deze regel implementeert beveiligingsbest practices via Azure Policy, ARM-templates of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele nalevingskaders.
Vereisten
Voor het implementeren van diagnostische logging voor Azure Key Vault zijn specifieke Azure-resources en configuraties vereist. Deze vereisten vormen de basis voor een effectieve audit trail en monitoring van alle toegangsactiviteiten binnen uw Key Vault-omgeving. Zonder de juiste infrastructuur en configuratie kan diagnostische logging niet effectief worden geïmplementeerd, wat leidt tot beveiligingsgaten en compliance-problemen.
De primaire vereiste is de aanwezigheid van een Azure Key Vault-instantie. Deze Key Vault kan worden geconfigureerd als een standaard Key Vault of als een Premium Key Vault, afhankelijk van uw organisatorische behoeften. Het maakt niet uit of de Key Vault zich in een productie-, test- of ontwikkelomgeving bevindt; diagnostische logging is voor alle omgevingen even belangrijk om een volledig beeld te krijgen van de beveiligingsstatus van uw organisatie. Zelfs in ontwikkelomgevingen kan het analyseren van toegangspatronen waardevolle inzichten opleveren over hoe ontwikkelaars en systemen interactie hebben met gevoelige gegevens.
Daarnaast is een Log Analytics-werkruimte essentieel voor het verzamelen, analyseren en bewaren van de loggegevens. Deze werkruimte fungeert als centrale opslaglocatie voor alle auditgegevens en maakt geavanceerde query's en analyses mogelijk. De Log Analytics-werkruimte moet zich in dezelfde Azure-regio bevinden als uw Key Vault voor optimale prestaties en om te voldoen aan gegevensresidencievereisten die vaak gelden voor Nederlandse overheidsorganisaties. Het plaatsen van de werkruimte in dezelfde regio minimaliseert ook de latentie bij het verzenden van loggegevens en verlaagt de kosten voor gegevensoverdracht tussen regio's.
Voor de implementatie zelf heeft u toegang nodig tot de Azure Portal of Azure PowerShell-modules. De vereiste PowerShell-modules zijn Az.Accounts en Az.KeyVault, die standaard beschikbaar zijn in de Azure Cloud Shell of lokaal kunnen worden geïnstalleerd. Daarnaast is een Azure-account met voldoende rechten vereist, specifiek de rol van Key Vault Contributor of een aangepaste rol met machtigingen voor het configureren van diagnostische instellingen. Het is belangrijk om te begrijpen dat alleen accounts met de juiste machtigingen diagnostische instellingen kunnen configureren, wat een belangrijk beveiligingsaspect is om te voorkomen dat onbevoegde personen logging kunnen uitschakelen of wijzigen.
Vanuit een compliance-perspectief is het belangrijk dat de Log Analytics-werkruimte is geconfigureerd met een bewaartermijn van minimaal 90 dagen, hoewel veel organisaties kiezen voor een langere bewaartermijn van 365 dagen of meer om te voldoen aan specifieke auditvereisten. Voor Nederlandse overheidsorganisaties kan een bewaartermijn van 7 jaar vereist zijn volgens de Archiefwet, wat betekent dat aanvullende archiveringsoplossingen moeten worden overwogen naast de standaard Log Analytics-retentie. Deze archiveringsoplossingen kunnen bestaan uit het exporteren van loggegevens naar Azure Blob Storage met een lifecycle-beleid dat de gegevens voor de vereiste periode bewaart, of het gebruik van gespecialiseerde archiveringsdiensten die voldoen aan de specifieke eisen van de Archiefwet.
Naast de technische vereisten zijn er ook organisatorische overwegingen die moeten worden aangepakt. Het is belangrijk dat er duidelijke procedures zijn voor wie toegang heeft tot de loggegevens, hoe deze gegevens worden geanalyseerd, en wat de reactieprocedures zijn wanneer verdachte activiteiten worden gedetecteerd. Deze procedures moeten worden gedocumenteerd en regelmatig worden getest om ervoor te zorgen dat het beveiligingsteam effectief kan reageren op beveiligingsincidenten die worden geïdentificeerd via de diagnostische logging.
Monitoring
Gebruik PowerShell-script key-vault-diagnostic-logging-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van diagnostische logging voor Azure Key Vault is een kritieke activiteit die regelmatig moet worden uitgevoerd om te waarborgen dat alle toegangsgebeurtenissen correct worden vastgelegd en geanalyseerd. Monitoring omvat niet alleen het controleren of de diagnostische instellingen actief zijn, maar ook het verifiëren dat loggegevens daadwerkelijk worden ontvangen en opgeslagen in de Log Analytics-werkruimte. Zonder effectieve monitoring kan een organisatie niet zeker zijn van de integriteit van haar audit trail, wat kan leiden tot compliance-problemen en het onopgemerkt blijven van beveiligingsincidenten.
De eerste stap in het monitoringproces is het controleren van de diagnostische instellingen zelf. Dit kan worden gedaan via de Azure Portal door naar de Key Vault te navigeren en de sectie Diagnostische instellingen te openen. Hier moet u verifiëren dat er een actieve diagnostische instelling bestaat die is gekoppeld aan uw Log Analytics-werkruimte. De instelling moet zijn geconfigureerd om alle relevante logcategorieën vast te leggen, waaronder AuditEvent logs die alle toegangsgebeurtenissen bevatten. Het is belangrijk om te controleren dat de diagnostische instelling niet per ongeluk is uitgeschakeld of gewijzigd, wat kan gebeuren tijdens configuratiewijzigingen of door onbevoegde toegang.
Naast de configuratiecontrole is het essentieel om te verifiëren dat loggegevens daadwerkelijk worden gegenereerd en verzonden. Dit kan worden gedaan door een testoperatie uit te voeren op de Key Vault, zoals het ophalen van een geheim of het opvragen van een lijst met sleutels. Binnen enkele minuten zou deze activiteit zichtbaar moeten zijn in de Log Analytics-werkruimte. U kunt dit controleren door een KQL-query uit te voeren die specifiek zoekt naar recente Key Vault-activiteiten. Deze verificatie moet regelmatig worden uitgevoerd, bij voorkeur wekelijks, om ervoor te zorgen dat de logging-infrastructuur continu functioneert zoals verwacht.
Voor continue monitoring wordt aanbevolen om geautomatiseerde controles in te stellen die dagelijks of wekelijks worden uitgevoerd. Deze controles kunnen worden geïmplementeerd met behulp van Azure Monitor-waarschuwingen die worden geactiveerd wanneer er gedurende een bepaalde periode geen loggegevens worden ontvangen, wat kan duiden op een probleem met de diagnostische instellingen. Daarnaast kunnen waarschuwingen worden geconfigureerd voor verdachte activiteiten, zoals ongebruikelijke toegangspatronen of pogingen tot ongeautoriseerde toegang. Deze geautomatiseerde monitoring zorgt ervoor dat problemen snel worden gedetecteerd en dat het beveiligingsteam proactief kan reageren op potentiële beveiligingsbedreigingen.
Het analyseren van de loggegevens zelf is eveneens een belangrijk onderdeel van monitoring. Regelmatige beoordelingen van de auditlogs kunnen inzicht geven in gebruikspatronen, helpen bij het identificeren van potentiële beveiligingsrisico's en zorgen voor naleving met interne en externe auditvereisten. Voor Nederlandse overheidsorganisaties is dit met name relevant omdat regelmatige audits vereist zijn volgens de BIO-normen en andere toepasselijke compliance-frameworks. Deze analyses moeten worden uitgevoerd door getrainde beveiligingsprofessionals die begrijpen hoe ze patronen kunnen herkennen die wijzen op ongeautoriseerde toegang of andere beveiligingsincidenten. Het regelmatig uitvoeren van deze analyses helpt organisaties om trends te identificeren, afwijkende patronen te detecteren en proactief te reageren op potentiële beveiligingsbedreigingen voordat deze kunnen escaleren tot volledige beveiligingsincidenten.
Een belangrijk aspect van monitoring is het bijhouden van metrische gegevens over de logging zelf. Dit omvat het monitoren van het volume aan loggegevens dat wordt gegenereerd, de frequentie van toegangsgebeurtenissen, en eventuele anomalieën in deze patronen. Een plotselinge toename of afname in het aantal loggebeurtenissen kan wijzen op een probleem met de Key Vault-configuratie, een beveiligingsincident, of een probleem met de logging-infrastructuur zelf. Door deze metrische gegevens regelmatig te analyseren, kunnen organisaties trends identificeren en proactief reageren op veranderingen in het gebruikspatroon van hun Key Vault-omgeving.
Ten slotte moet monitoring ook aandacht besteden aan de prestaties en beschikbaarheid van de logging-infrastructuur. Als de Log Analytics-werkruimte niet beschikbaar is of als er problemen zijn met de gegevensoverdracht, kunnen belangrijke beveiligingsgebeurtenissen verloren gaan. Daarom moeten organisaties monitoring implementeren voor de gezondheid van de Log Analytics-werkruimte zelf, inclusief het controleren van de opslagcapaciteit, de prestaties van query's, en de beschikbaarheid van de service. Dit zorgt ervoor dat de logging-infrastructuur betrouwbaar blijft en dat alle belangrijke gebeurtenissen correct worden vastgelegd voor toekomstige analyse en auditing.
Compliance en Auditing
Diagnostische logging voor Azure Key Vault is een fundamentele vereiste voor naleving van verschillende internationale en nationale beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties. Deze logging vormt de basis voor audit trails, forensische onderzoeken en continue beveiligingsmonitoring die essentieel zijn voor het waarborgen van de integriteit en vertrouwelijkheid van gevoelige gegevens. Zonder adequate logging kunnen organisaties niet voldoen aan de compliance-vereisten die worden gesteld door verschillende regelgevende kaders, wat kan leiden tot boetes, reputatieschade en het verlies van vertrouwen van burgers en stakeholders.
De CIS Microsoft Azure Foundations Benchmark, specifiek controle 5.1.5, vereist expliciet dat diagnostische logging is ingeschakeld voor alle Key Vault-instanties. Deze controle valt onder niveau 1 (L1), wat betekent dat het wordt beschouwd als een fundamentele beveiligingsmaatregel die moet worden geïmplementeerd in alle omgevingen. De controle stelt dat alle toegangsgebeurtenissen, inclusief lees-, schrijf- en verwijderoperaties op sleutels, geheimen en certificaten, moeten worden gelogd en bewaard voor analyse en auditing. Het niet naleven van deze controle wordt beschouwd als een kritieke beveiligingsfout die onmiddellijk moet worden verholpen om te voorkomen dat organisaties kwetsbaar blijven voor beveiligingsincidenten die niet kunnen worden gedetecteerd of onderzocht.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang. BIO-controle 12.04 richt zich specifiek op logging en monitoring van systemen die gevoelige informatie verwerken. Deze controle vereist dat alle relevante gebeurtenissen worden vastgelegd, inclusief toegang tot kritieke systemen zoals Key Vault, en dat deze logs worden bewaard voor een periode die voldoet aan de wettelijke vereisten. Voor veel overheidsorganisaties betekent dit een bewaartermijn van minimaal 7 jaar volgens de Archiefwet, wat aanvullende archiveringsoplossingen vereist naast de standaard Azure Log Analytics-retentie. Deze lange bewaartermijn is essentieel voor het kunnen uitvoeren van historische audits en het voldoen aan verzoeken om informatie op basis van de Wet open overheid of andere transparantievereisten.
De ISO 27001:2022-standaard, controle A.8.15, behandelt logging en monitoring als onderdeel van het informatiebeveiligingsmanagementsysteem. Deze controle vereist dat organisaties logging en monitoring implementeren om beveiligingsgebeurtenissen te detecteren, te analyseren en erop te reageren. Voor Key Vault betekent dit dat alle toegangsgebeurtenissen moeten worden gelogd, dat er mechanismen moeten zijn voor het analyseren van deze logs, en dat er procedures moeten zijn voor het reageren op verdachte activiteiten die worden gedetecteerd in de logs. Organisaties die ISO 27001-certificering nastreven of behouden, moeten kunnen aantonen dat deze logging en monitoring effectief zijn geïmplementeerd en dat er regelmatige reviews worden uitgevoerd om de effectiviteit te waarborgen.
Naast deze specifieke controles draagt diagnostische logging bij aan naleving van de Algemene Verordening Gegevensbescherming (AVG) door het mogelijk maken van accountability en het demonstreren van passende technische en organisatorische maatregelen voor de bescherming van persoonsgegevens. Wanneer Key Vault wordt gebruikt voor het opslaan van encryptiesleutels die worden gebruikt voor de bescherming van persoonsgegevens, is het kunnen aantonen van wie toegang heeft gehad tot deze sleutels essentieel voor AVG-compliance. Dit is met name relevant voor het recht op inzage (Artikel 15 AVG), waarbij betrokkenen kunnen vragen wie toegang heeft gehad tot hun persoonsgegevens, en voor het recht op verwijdering (Artikel 17 AVG), waarbij organisaties moeten kunnen aantonen dat alle gerelateerde gegevens, inclusief encryptiesleutels, correct zijn verwijderd.
Voor auditdoeleinden moeten organisaties kunnen aantonen dat diagnostische logging correct is geconfigureerd en actief is. Dit omvat het kunnen tonen van de configuratie van de diagnostische instellingen, voorbeelden van loggegevens die daadwerkelijk zijn gegenereerd, en bewijs van regelmatige monitoring en analyse van deze logs. Auditoren zullen vaak vragen om specifieke voorbeelden van loggegevens en willen verifiëren dat alle relevante gebeurtenissen worden vastgelegd zonder significante hiaten in de logging. Het is daarom belangrijk dat organisaties niet alleen de logging configureren, maar ook documenteren hoe deze wordt gemonitord en geanalyseerd, en dat er bewijs is van regelmatige reviews en acties die zijn ondernomen op basis van bevindingen in de logs.
Bovendien moeten organisaties rekening houden met de specifieke vereisten van verschillende compliance-frameworks wat betreft de inhoud en het detailniveau van de logs. Sommige frameworks vereisen bijvoorbeeld dat logs informatie bevatten over de identiteit van de gebruiker die toegang heeft gehad, de tijdstempel van de activiteit, het type operatie dat is uitgevoerd, en het resultaat van de operatie. Andere frameworks kunnen aanvullende vereisten stellen, zoals het loggen van de bron-IP-adressen of het bijhouden van wijzigingen in de configuratie van de Key Vault zelf. Het is belangrijk dat organisaties deze vereisten begrijpen en ervoor zorgen dat hun logging-configuratie voldoet aan alle toepasselijke standaarden.
Remediatie
Gebruik PowerShell-script key-vault-diagnostic-logging-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer diagnostische logging niet is ingeschakeld voor een Azure Key Vault, is het van cruciaal belang om deze situatie onmiddellijk te verhelpen. Het ontbreken van logging creëert een significant beveiligingsrisico omdat er geen audit trail bestaat van toegang tot gevoelige gegevens zoals encryptiesleutels, geheimen en certificaten. Zonder deze logging is het onmogelijk om te detecteren of er ongeautoriseerde toegang heeft plaatsgevonden, wat kan leiden tot datalekken en compliance-schendingen. Bovendien kunnen organisaties zonder adequate logging niet voldoen aan de vereisten van verschillende compliance-frameworks, wat kan resulteren in boetes en reputatieschade.
De remediatieprocedure begint met het identificeren van alle Key Vault-instanties in uw Azure-omgeving die momenteel geen diagnostische logging hebben ingeschakeld. Dit kan worden gedaan met behulp van het bijbehorende monitoring script dat automatisch alle Key Vaults scant en rapporteert welke instanties niet voldoen aan de vereisten. Zodra de niet-conforme Key Vaults zijn geïdentificeerd, moet voor elk exemplaar een diagnostische instelling worden geconfigureerd. Het is belangrijk om deze identificatie regelmatig uit te voeren, bijvoorbeeld maandelijks, om ervoor te zorgen dat nieuwe Key Vaults die worden aangemaakt ook direct worden geconfigureerd met diagnostische logging.
De configuratie van diagnostische logging kan worden uitgevoerd via de Azure Portal, Azure PowerShell of Azure CLI. Via de Azure Portal navigeert u naar de betreffende Key Vault, selecteert u de sectie Diagnostische instellingen onder Monitoring, en voegt u een nieuwe diagnostische instelling toe. Deze instelling moet worden geconfigureerd om AuditEvent logs te verzenden naar een Log Analytics-werkruimte. Het is belangrijk om ervoor te zorgen dat alle relevante logcategorieën zijn geselecteerd om een volledig beeld te krijgen van alle toegangsactiviteiten. Bij het configureren van de diagnostische instelling moet u ook de bewaartermijn instellen volgens de compliance-vereisten van uw organisatie, waarbij Nederlandse overheidsorganisaties vaak kiezen voor de maximale beschikbare retentieperiode in Log Analytics, gevolgd door aanvullende archiveringsoplossingen voor langere bewaartermijnen.
Voor geautomatiseerde implementatie op schaal kan het bijbehorende remediatiescript worden gebruikt. Dit script kan worden uitgevoerd voor een enkele Key Vault of voor meerdere Key Vaults tegelijkertijd, wat vooral nuttig is voor organisaties met een groot aantal Key Vault-instanties. Het script configureert automatisch de diagnostische instellingen volgens de best practices en zorgt ervoor dat alle vereiste logcategorieën worden vastgelegd. Het gebruik van geautomatiseerde scripts vermindert niet alleen de kans op menselijke fouten, maar zorgt ook voor consistentie in de configuratie bij alle Key Vault-instanties in de organisatie. Bovendien kunnen deze scripts worden geïntegreerd in CI/CD-pipelines om ervoor te zorgen dat nieuwe Key Vaults automatisch worden geconfigureerd met diagnostische logging zodra ze worden aangemaakt.
Na het inschakelen van diagnostische logging is het belangrijk om te verifiëren dat de configuratie correct werkt. Dit kan worden gedaan door een testoperatie uit te voeren op de Key Vault en te controleren of deze activiteit binnen enkele minuten zichtbaar is in de Log Analytics-werkruimte. Daarnaast moet worden gecontroleerd of de bewaartermijn correct is geconfigureerd om te voldoen aan de compliance-vereisten van uw organisatie. Voor Nederlandse overheidsorganisaties kan dit betekenen dat aanvullende archiveringsoplossingen moeten worden geïmplementeerd om te voldoen aan de 7-jarige bewaartermijn volgens de Archiefwet. Deze verificatie moet worden gedocumenteerd als onderdeel van de remediatieprocedure, zodat er bewijs is dat de logging correct is geconfigureerd en functioneert zoals verwacht.
Het is ook belangrijk om te erkennen dat het inschakelen van diagnostische logging alleen toekomstige gebeurtenissen vastlegt. Historische toegangsgebeurtenissen die hebben plaatsgevonden voordat logging was ingeschakeld, zijn niet beschikbaar voor analyse of auditing. Daarom is het van essentieel belang om diagnostische logging zo snel mogelijk in te schakelen voor alle Key Vault-instanties, zelfs in ontwikkel- en testomgevingen, om te voorkomen dat er belangrijke beveiligingsgebeurtenissen verloren gaan. Organisaties moeten ook overwegen om een proces in te stellen waarbij nieuwe Key Vaults automatisch worden geconfigureerd met diagnostische logging als onderdeel van het provisioning-proces, zodat deze situatie in de toekomst wordt voorkomen. Dit kan worden bereikt door het gebruik van Azure Policy of Infrastructure as Code-templates die automatisch diagnostische logging configureren wanneer nieuwe Key Vaults worden aangemaakt. Door deze geautomatiseerde aanpak te implementeren, kunnen organisaties ervoor zorgen dat alle Key Vault-instanties, ongeacht wanneer of door wie ze worden aangemaakt, direct worden geconfigureerd met de juiste logging-instellingen, waardoor beveiligingsgaten worden voorkomen en compliance wordt gewaarborgd vanaf het moment dat de Key Vault operationeel wordt.
Naast het inschakelen van logging zelf, moeten organisaties ook zorgen voor de juiste monitoring en waarschuwingen op basis van de loggegevens. Dit omvat het configureren van waarschuwingen voor verdachte activiteiten, zoals ongebruikelijke toegangspatronen of pogingen tot ongeautoriseerde toegang, en het instellen van regelmatige beoordelingen van de loggegevens door het beveiligingsteam. Deze aanvullende maatregelen zorgen ervoor dat de logging niet alleen wordt geconfigureerd, maar ook effectief wordt gebruikt voor beveiligingsdoeleinden en compliance. Het is belangrijk dat deze monitoring en waarschuwingen worden geïmplementeerd als onderdeel van de remediatieprocedure, zodat organisaties direct kunnen profiteren van de logging-infrastructuur zodra deze is geconfigureerd. De waarschuwingen moeten worden afgestemd op de specifieke risicoprofielen van de organisatie en moeten worden getest om ervoor te zorgen dat ze effectief zijn in het detecteren van echte bedreigingen zonder te veel valse positieven te genereren die de aandacht van het beveiligingsteam kunnen afleiden van echte beveiligingsincidenten.
Compliance & Frameworks
- CIS M365: Control 5.1.5 (L1) - Key Vault logging
- BIO: 12.04 - Logging
- ISO 27001:2022: A.8.15 - Logging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Key Vault Diagnostic Logging Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 8.3
Controleert of diagnostic logging is ingeschakeld voor Key Vaults.
.NOTES
Filename: key-vault-diagnostic-logging-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 8.3
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.KeyVault, Az.Monitor
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Key Vault Diagnostic Logging Enabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$vaults = Get-AzKeyVault -ErrorAction SilentlyContinue
$result = @{ TotalVaults = $vaults.Count; WithDiagnostics = 0 }
foreach ($vault in $vaults) {
$diagnostics = Get-AzDiagnosticSetting -ResourceId $vault.ResourceId -ErrorAction SilentlyContinue
if ($diagnostics) { $result.WithDiagnostics++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White
Write-Host "With Diagnostics: $($r.WithDiagnostics)" -ForegroundColor $(if ($r.WithDiagnostics -eq $r.TotalVaults) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nDiagnostic Logging: $($r.WithDiagnostics)/$($r.TotalVaults) vaults"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White
Write-Host "With Diagnostics: $($r.WithDiagnostics)" -ForegroundColor $(if ($r.WithDiagnostics -eq $r.TotalVaults) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nDiagnostic Logging: $($r.WithDiagnostics)/$($r.TotalVaults) vaults"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder audit trail voor toegang tot geheimen en sleutels ontstaat een blinde vlek in de beveiliging. Ongeautoriseerde toegang, grootschalige diefstal van geheimen en exfiltratie van authenticatiegegevens blijven onopgemerkt. Naleving: CIS 5.1.5, BIO 12.04, ISO 27001 A.8.15. Het risico is hoog - geen forensische mogelijkheden beschikbaar.
Management Samenvatting
Key Vault Diagnostische Logging: Stuur alle toegangsgebeurtenissen naar Log Analytics (ophalen, lijst, verwijder operaties op sleutels/geheimen/certificaten). Bewaartermijn van 90+ dagen. Activering: Key Vault → Diagnostische instellingen → Verzenden naar Log Analytics. Kosten: €2-5 per kluis per maand. Verplicht volgens CIS 5.1.5, BIO 12.04. Implementatie: 1-2 uur. Essentiële audit trail.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE