💼 Management Samenvatting
Azure Activiteitenlogboek retentie: 365+ dagen (standaard is 90 dagen) - compliance en incidentonderzoek vereisen langere retentieperioden.
Aanbeveling
IMPLEMENTEER 365+ DAGEN RETENTIE
Risico zonder
High
Risk Score
8/10
Implementatie
6u (tech: 3u)
Van toepassing op:
✓ Azure
Het Azure Activiteitenlogboek vormt het auditlogboek van het Azure control plane en registreert alle beheeractiviteiten binnen uw Azure-omgeving. Dit omvat kritieke gebeurtenissen zoals het aanmaken en verwijderen van resources, wijzigingen in op rollen gebaseerd toegangsbeheer (RBAC), toewijzingen van beleidsregels en aanpassingen aan netwerkbeveiligingsgroepen (NSG). De standaard retentieperiode van 90 dagen is onvoldoende voor moderne beveiligings- en compliance-eisen. Nederlandse overheidsorganisaties moeten voldoen aan strikte normen zoals de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001 en de NIS2-richtlijn, die allemaal een minimale retentieperiode van minimaal één jaar vereisen. Bovendien tonen onderzoeken naar geavanceerde persistente bedreigingen (APT) aan dat de gemiddelde verblijftijd - de periode tussen compromittering en detectie - meer dan 200 dagen bedraagt. Zonder uitgebreide historische loggegevens kunnen beveiligingsteams deze langdurige aanvallen niet effectief onderzoeken en forensische analyses uitvoeren.
Implementatie
Een retentieperiode van 365+ dagen wordt gerealiseerd door activiteitenlogboeken te exporteren naar meerdere bestemmingen die elk een specifieke rol vervullen in de totale retentiestrategie. De primaire bestemming is een Log Analytics Workspace die dient als operationele opslaglocatie waar loggegevens in real-time beschikbaar komen voor query's, waarschuwingen en gedragsanalyses. Deze workspace wordt geconfigureerd met een retentieperiode van minimaal 365 dagen, wat zorgt voor uitgebreide beschikbaarheid van historische gegevens voor incidentonderzoek en compliance-verificatie. Voor langetermijnarchivering en compliance met Nederlandse overheidsnormen zoals de Baseline Informatiebeveiliging Overheid (BIO) worden loggegevens daarnaast geëxporteerd naar een opslagaccount met onveranderlijke opslagfunctionaliteit. Deze archiveringsbestemming is essentieel voor compliance omdat BIO-normen een retentieperiode van 7 jaar vereisen, waarbij de onveranderlijke opslagfunctionaliteit voorkomt dat gegevens worden gewijzigd of verwijderd gedurende deze periode. Organisaties kunnen er ook voor kiezen om logboeken door te sturen naar Microsoft Sentinel voor geavanceerde SIEM-functionaliteiten en gedragsanalyses, wat de beveiligingswaarde van de loggegevens aanzienlijk verhoogt door geavanceerde detectiecapaciteiten en geautomatiseerde responsmogelijkheden. Deze gelaagde aanpak zorgt ervoor dat organisaties zowel operationele monitoring als langetermijncompliance kunnen waarborgen, waarbij elke bestemming is geoptimaliseerd voor zijn specifieke doel en gebruiksscenario.
Vereisten
Het implementeren van uitgebreide retentie voor activiteitenlogboeken vereist een zorgvuldige voorbereiding en het beschikbaar hebben van de juiste Azure-resources en toegangsrechten. De basisvereiste is een actief Azure-abonnement waarover u voldoende beheerrechten bezit om diagnostische instellingen te kunnen configureren. Deze rechten zijn essentieel omdat het configureren van activiteitenlogboek export een beheeroperatie is die directe invloed heeft op de manier waarop auditgegevens worden vastgelegd en bewaard. De minimale rolvereiste is die van Inzender of Beveiligingsbeheerder op abonnementsniveau, waarbij de rol van Beveiligingsbeheerder de voorkeur heeft omdat deze specifiek is ontworpen voor beveiligingsgerelateerde configuraties. Het is belangrijk om te begrijpen dat deze rechten nodig zijn omdat activiteitenlogboeken op abonnementsniveau worden beheerd, wat betekent dat wijzigingen in de exportconfiguratie alle resources binnen het abonnement beïnvloeden. Een Log Analytics Workspace vormt de kerncomponent voor de primaire opslag en analyse van activiteitenloggegevens. Deze workspace dient als de operationele bestemming waar loggegevens in real-time beschikbaar komen voor query's, waarschuwingen en gedragsanalyses. De workspace moet worden geconfigureerd met een retentieperiode van minimaal 365 dagen, wat kan worden ingesteld via de workspace-instellingen in de Azure Portal. Deze retentieperiode is cruciaal omdat deze bepaalt hoe lang loggegevens beschikbaar blijven voor operationele doeleinden zoals incidentonderzoek en compliance-verificatie. Het is belangrijk om te realiseren dat de retentieperiode van een Log Analytics Workspace kan worden aangepast, maar dat verlenging van de retentieperiode alleen van toepassing is op nieuwe loggegevens die na de wijziging worden ontvangen. Bestaande loggegevens die al zijn opgeslagen met een kortere retentieperiode worden niet automatisch verlengd. Voor langetermijnarchivering en compliance met Nederlandse overheidsnormen zoals de Baseline Informatiebeveiliging Overheid (BIO) is een apart opslagaccount vereist met onveranderlijke opslagfunctionaliteit. Dit opslagaccount dient als de archiveringsbestemming waar loggegevens worden opgeslagen voor de volledige compliance-periode van 7 jaar. De onveranderlijke opslagfunctionaliteit is essentieel omdat deze voorkomt dat gegevens worden gewijzigd of verwijderd gedurende de vereiste retentieperiode, zelfs door beheerders met volledige toegangsrechten. Dit biedt de juridische zekerheid die nodig is voor auditdoeleinden en compliance-verificatie. Het opslagaccount moet worden geconfigureerd met een retention policy die specifiek is ingesteld voor de vereiste periode van 7 jaar, waarbij de policy zodanig is geconfigureerd dat deze niet kan worden gewijzigd of verwijderd voordat de retentieperiode is verstreken. De integratie met Microsoft Sentinel is optioneel maar wordt sterk aanbevolen voor organisaties die geavanceerde beveiligingsinformatie- en gebeurtenisbeheersysteem (SIEM) functionaliteiten willen benutten. Sentinel biedt geavanceerde detectiecapaciteiten, gedragsanalyses en geautomatiseerde responsmogelijkheden die de beveiligingswaarde van activiteitenloggegevens aanzienlijk verhogen. Deze SIEM-functionaliteiten maken het mogelijk om beveiligingsgebeurtenissen te correleren, geavanceerde bedreigingspatronen te identificeren en geautomatiseerde responsacties uit te voeren wanneer verdachte activiteiten worden gedetecteerd. Deze integratie maakt het mogelijk om activiteitenloggegevens te correleren met andere beveiligingsgegevensbronnen, waardoor een completer beeld ontstaat van beveiligingsgebeurtenissen en potentiële bedreigingen. Organisaties moeten echter rekening houden met de aanvullende kosten die gepaard gaan met Sentinel-integratie, evenals met de operationele complexiteit die deze integratie met zich meebrengt. Kostenoverwegingen vormen een belangrijk aspect van de implementatie van uitgebreide logretentie. De kosten variëren aanzienlijk afhankelijk van het volume aan loggegevens dat wordt gegenereerd, de gekozen retentieperioden en de gebruikte opslagtypen. Voor een gemiddelde Nederlandse overheidsorganisatie met een middelgroot Azure-abonnement kunnen de maandelijkse kosten voor logopslag variëren van vijftig tot tweehonderd euro, waarbij de kosten voornamelijk worden bepaald door het aantal logrecords dat wordt gegenereerd en de retentieperiode die wordt toegepast. Het is belangrijk om regelmatig de kosten te monitoren en te optimaliseren door bijvoorbeeld logcategorieën te filteren die niet essentieel zijn voor compliance of beveiligingsdoeleinden. Daarnaast kunnen organisaties kosten besparen door gebruik te maken van Azure Storage-opslaglagen zoals cool storage of archive storage voor langetermijnarchivering, waarbij de kosten per gigabyte aanzienlijk lager zijn dan bij standaard hot storage.
Implementatie
Gebruik PowerShell-script activity-log-retention-365-days.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van uitgebreide retentie voor activiteitenlogboeken kan worden uitgevoerd via twee primaire methoden: via de Azure Portal met een grafische gebruikersinterface of programmatisch via PowerShell of Azure CLI. Beide methoden hebben hun voor- en nadelen, waarbij de keuze afhankelijk is van de organisatorische voorkeuren, de beschikbare expertise en de behoefte aan herhaalbaarheid en automatisering. Voor organisaties die beginnen met de implementatie wordt de Azure Portal aanbevolen omdat deze een intuïtieve interface biedt die het proces visueel maakt en fouten tijdens de configuratie helpt voorkomen. Via de Azure Portal begint het implementatieproces door te navigeren naar de Monitor-service, die zich bevindt in de hoofdnavigatie van de Azure Portal. Binnen Monitor selecteert u de optie Activiteitenlogboek, wat de centrale locatie is voor het beheren van activiteitenlogboekconfiguraties op abonnementsniveau. Vanuit het Activiteitenlogboek navigeert u naar de sectie Diagnostische instellingen, waar u nieuwe exportconfiguraties kunt aanmaken en bestaande configuraties kunt beheren. Het is belangrijk om te begrijpen dat diagnostische instellingen de mechanisme zijn waarmee Azure-services loggegevens kunnen exporteren naar externe bestemmingen zoals Log Analytics Workspaces, opslagaccounts of Event Hubs. Bij het aanmaken van een nieuwe diagnostische instelling wordt u gevraagd om verschillende configuratieopties in te stellen. Allereerst moet u een naam opgeven voor de diagnostische instelling, waarbij het aanbevolen is om een beschrijvende naam te gebruiken die duidelijk maakt wat het doel is van de configuratie. Vervolgens moet u de bestemmingen selecteren waarheen de loggegevens moeten worden geëxporteerd. Voor operationele monitoring en real-time analyse selecteert u een Log Analytics Workspace als primaire bestemming. Deze workspace moet al zijn aangemaakt en geconfigureerd met een retentieperiode van minimaal 365 dagen. Het is belangrijk om te realiseren dat de retentieperiode van de workspace wordt geconfigureerd via de workspace-instellingen zelf, niet via de diagnostische instelling. Voor langetermijnarchivering en compliance met Nederlandse overheidsnormen zoals de Baseline Informatiebeveiliging Overheid (BIO) selecteert u een opslagaccount als tweede bestemming. Dit opslagaccount moet worden geconfigureerd met onveranderlijke opslagfunctionaliteit, wat kan worden ingesteld via de opslagaccountinstellingen. De onveranderlijke opslagfunctionaliteit maakt gebruik van Azure Blob Storage immutability policies, die voorkomen dat gegevens worden gewijzigd of verwijderd gedurende de opgegeven retentieperiode. Voor compliance met BIO-normen moet deze retentieperiode worden ingesteld op 7 jaar, waarbij de policy zodanig is geconfigureerd dat deze niet kan worden gewijzigd of verwijderd voordat de periode is verstreken. Een kritiek aspect van de configuratie is de selectie van relevante logcategorieën. Het activiteitenlogboek bevat verschillende categorieën van gebeurtenissen, waaronder administratieve acties, beveiligingsgebeurtenissen, service health meldingen en resource health informatie. Voor een complete audit trail is het essentieel om alle relevante categorieën te selecteren, omdat elke categorie verschillende soorten informatie bevat die belangrijk kunnen zijn voor compliance-verificatie of incidentonderzoek. Administratieve acties omvatten alle beheeroperaties zoals het aanmaken, wijzigen of verwijderen van resources. Beveiligingsgebeurtenissen bevatten informatie over beveiligingsgerelateerde acties zoals aanmeldpogingen en toegangscontrolewijzigingen. Service health en resource health informatie bieden inzicht in de status van Azure-services en individuele resources, wat belangrijk kan zijn voor het begrijpen van de context waarin bepaalde acties zijn uitgevoerd. Na het voltooien van de configuratie worden alle nieuwe activiteitenloggegevens automatisch doorgestuurd naar de geconfigureerde bestemmingen. Het is belangrijk om te begrijpen dat deze automatische export alleen van toepassing is op nieuwe loggegevens die na de configuratie worden gegenereerd. Bestaande loggegevens die nog binnen de standaard retentieperiode van 90 dagen vallen, worden niet automatisch geëxporteerd. Indien deze historische gegevens belangrijk zijn voor compliance of auditdoeleinden, kunnen ze handmatig worden geëxporteerd via de exportfunctionaliteit in de Azure Portal, hoewel dit proces tijdrovend kan zijn voor grote hoeveelheden gegevens. Programmatische implementatie via PowerShell biedt voordelen voor organisaties die herhaalbaarheid en automatisering nodig hebben. Het gebruik van PowerShell maakt het mogelijk om de configuratie te scripten, wat betekent dat de implementatie kan worden herhaald voor meerdere abonnementen of kan worden geïntegreerd in geautomatiseerde deployment-processen. Daarnaast maakt PowerShell het mogelijk om configuraties te valideren en te testen voordat ze worden toegepast, wat de kans op fouten verkleint. Het PowerShell-script dat beschikbaar is voor deze implementatie maakt gebruik van de Azure PowerShell-modules en biedt een gestructureerde aanpak voor het configureren van diagnostische instellingen met de juiste retentie-instellingen. Na de implementatie is het essentieel om regelmatig te controleren of de export correct functioneert en of de retentie-instellingen conform de compliance-eisen blijven. Deze verificatie moet worden uitgevoerd door te controleren of nieuwe loggegevens daadwerkelijk worden ontvangen in beide bestemmingen en door te verifiëren dat de retentie-instellingen niet zijn gewijzigd. Organisaties moeten ook monitoren of er fouten optreden tijdens de export van loggegevens, wat kan wijzen op configuratieproblemen of capaciteitsproblemen. Het is aanbevolen om deze verificatie maandelijks uit te voeren als onderdeel van de reguliere beveiligings- en compliance-processen.
Compliance
Uitgebreide retentie van activiteitenlogboeken vormt een fundamenteel vereiste voor compliance met verschillende Nederlandse en internationale beveiligings- en privacy normen die van toepassing zijn op Nederlandse overheidsorganisaties. Deze normen stellen specifieke eisen aan de manier waarop auditlogboeken moeten worden bewaard en beheerd, waarbij de retentieperiode en de onveranderlijkheid van de gegevens kritieke aspecten zijn. Het niet voldoen aan deze vereisten kan leiden tot aanzienlijke juridische, financiële en reputatierisico's voor organisaties, waardoor het essentieel is om de compliance-implicaties volledig te begrijpen en te adresseren. De Baseline Informatiebeveiliging Overheid (BIO) is de primaire beveiligingsnorm voor Nederlandse overheidsorganisaties en stelt specifieke eisen aan logretentie. Controle 12.04.03 van de BIO vereist expliciet een retentieperiode van minimaal 7 jaar voor auditlogboeken, waarbij activiteitenlogboeken die beheeractiviteiten vastleggen expliciet onder deze vereiste vallen. Deze lange retentieperiode is gebaseerd op de behoefte aan historische gegevens voor forensische analyses, compliance-verificatie en het kunnen aantonen van naleving van beveiligingsbeleid over langere perioden. Het is belangrijk om te realiseren dat de BIO niet alleen een minimale retentieperiode vereist, maar ook eist dat de loggegevens onveranderlijk zijn, wat betekent dat ze niet kunnen worden gewijzigd of verwijderd gedurende de retentieperiode. Dit vereist het gebruik van onveranderlijke opslagfunctionaliteit zoals Azure Blob Storage immutability policies. ISO 27001 controle A.12.4.1 schrijft voor dat organisaties loggegevens moeten bewaren voor een periode die voldoet aan wettelijke, regelgevende en contractuele verplichtingen. Voor Nederlandse overheidsorganisaties betekent dit in de praktijk minimaal 7 jaar, wat overeenkomt met de BIO-vereisten. De ISO 27001 norm benadrukt echter ook het belang van het bepalen van de juiste retentieperiode op basis van een risicoanalyse en de specifieke context van de organisatie. Dit betekent dat organisaties niet alleen moeten voldoen aan de minimale vereisten, maar ook moeten evalueren of langere retentieperioden nodig zijn op basis van hun specifieke risicoprofiel en operationele behoeften. De norm vereist ook dat organisaties procedures hebben voor het beheren van loggegevens gedurende de retentieperiode, inclusief procedures voor het beveiligen van de gegevens tegen ongeautoriseerde toegang, wijziging of verwijdering. Het NIST Cybersecurity Framework controle AU-11 benadrukt het belang van auditlogretentie voor forensische doeleinden en compliance-verificatie. Deze controle stelt dat organisaties auditrecords moeten bewaren voor een periode die consistent is met organisatorische behoeften en wettelijke vereisten. Het framework benadrukt dat auditlogretentie essentieel is voor het kunnen uitvoeren van forensische analyses na beveiligingsincidenten, waarbij historische loggegevens cruciaal kunnen zijn voor het begrijpen van de omvang en impact van een incident. Daarnaast benadrukt het framework het belang van het kunnen aantonen van compliance met beveiligingsbeleid en regelgeving, waarbij uitgebreide historische loggegevens het bewijs vormen dat organisaties hun beveiligingsverplichtingen hebben nageleefd. De NIS2-richtlijn artikel 21 verplicht essentiële en belangrijke entiteiten om passende maatregelen te treffen voor het beheer van beveiligingsincidenten. Deze verplichting omvat het hebben van uitgebreide logretentie omdat historische loggegevens essentieel zijn voor het effectief onderzoeken van beveiligingsincidenten en het begrijpen van de volledige omvang en impact van een incident. De richtlijn benadrukt dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om beveiligingsincidenten te voorkomen, detecteren en reageren, waarbij uitgebreide logretentie een belangrijk onderdeel is van deze aantoonbaarheid. Het niet hebben van adequate logretentie kan worden gezien als een tekortkoming in de capaciteiten voor incidentafhandeling van een organisatie, wat kan leiden tot boetes en andere sancties. De Algemene Verordening Gegevensbescherming (AVG) artikel 30 vereist dat organisaties een register bijhouden van verwerkingsactiviteiten, waarbij activiteitenlogboeken dienen als bewijs van wie toegang heeft gehad tot persoonsgegevens en welke acties zijn uitgevoerd. Deze verplichting is bijzonder relevant voor Nederlandse overheidsorganisaties die grote hoeveelheden persoonsgegevens verwerken, waarbij activiteitenlogboeken het bewijs vormen dat de organisatie haar verantwoordelijkheden onder de AVG heeft nageleefd. Activiteitenlogboeken kunnen bijvoorbeeld worden gebruikt om aan te tonen dat alleen geautoriseerde personen toegang hebben gehad tot persoonsgegevens, dat gegevens zijn verwijderd in overeenstemming met verzoeken om gegevenswissing, of dat gegevens zijn gecorrigeerd in overeenstemming met rectificatieverzoeken. Zonder adequate retentie van deze loggegevens kunnen organisaties niet aantonen dat zij voldoen aan hun AVG-verplichtingen, wat kan leiden tot boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Naast deze specifieke normen zijn er ook algemene juridische en regelgevende overwegingen die van invloed zijn op logretentie. Nederlandse overheidsorganisaties moeten rekening houden met de Archiefwet, die eisen stelt aan het bewaren van archiefstukken, waarbij digitale auditlogboeken kunnen worden beschouwd als archiefstukken die moeten worden bewaard volgens de archiefwetgeving. Daarnaast kunnen er sector-specifieke vereisten zijn die aanvullende eisen stellen aan logretentie, zoals vereisten voor financiële gegevens of gezondheidsgegevens. Het is daarom essentieel dat organisaties een grondige analyse uitvoeren van alle van toepassing zijnde normen en regelgeving om te bepalen welke retentieperiode en beveiligingsmaatregelen nodig zijn. Het niet voldoen aan deze compliance-vereisten kan leiden tot aanzienlijke risico's voor organisaties. Financiële risico's omvatten boetes en sancties van toezichthouders, waarbij de AVG bijvoorbeeld boetes kan opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Reputatierisico's kunnen ontstaan wanneer het publiek bekend wordt dat een organisatie niet voldoet aan beveiligings- of privacyvereisten, wat kan leiden tot verlies van vertrouwen en mogelijke gevolgen voor de publieke dienstverlening. Juridische risico's kunnen ontstaan wanneer organisaties niet kunnen aantonen dat zij voldoen aan hun verplichtingen, wat kan leiden tot rechtszaken en aansprakelijkheid. Daarnaast kunnen operationele risico's ontstaan wanneer organisaties niet beschikken over de historische loggegevens die nodig zijn voor forensische analyses na beveiligingsincidenten, wat kan leiden tot onvolledige incidentonderzoeken en het niet kunnen identificeren van de volledige omvang en impact van een incident.
Monitoring
Gebruik PowerShell-script activity-log-retention-365-days.ps1 (functie Invoke-Monitoring) – Controleren.
Regelmatige monitoring van de activiteitenlogboek retentie-configuratie vormt een kritiek onderdeel van het beheerproces en is essentieel om te waarborgen dat de instellingen correct blijven geconfigureerd en dat loggegevens daadwerkelijk worden opgeslagen voor de vereiste periode. Zonder adequate monitoring kunnen configuratiewijzigingen onopgemerkt blijven, wat kan leiden tot het verlies van loggegevens en het niet voldoen aan compliance-vereisten. Het is daarom belangrijk om een gestructureerde monitoringaanpak te implementeren die regelmatige verificatie omvat van alle aspecten van de retentie-configuratie. Organisaties moeten maandelijks een uitgebreide controle uitvoeren om te verifiëren dat de diagnostische instellingen nog actief zijn en dat beide bestemmingen, namelijk de Log Analytics Workspace en het opslagaccount, correct functioneren. Deze maandelijkse controle moet worden uitgevoerd als onderdeel van de reguliere beveiligings- en compliance-processen en moet worden gedocumenteerd voor auditdoeleinden. De verificatie van de diagnostische instellingen omvat het controleren of de instellingen nog bestaan, of ze correct zijn geconfigureerd met de juiste bestemmingen, en of alle relevante logcategorieën nog steeds zijn geselecteerd. Het is belangrijk om te realiseren dat diagnostische instellingen per ongeluk kunnen worden verwijderd of gewijzigd, bijvoorbeeld tijdens andere beheeroperaties of als gevolg van wijzigingen in de organisatiestructuur. De verificatie dat nieuwe loggegevens daadwerkelijk worden ontvangen in beide bestemmingen is een kritiek aspect van de monitoring. Voor de Log Analytics Workspace kan dit worden gedaan door het uitvoeren van KQL-query's die controleren of recente activiteitenloggegevens aanwezig zijn in de workspace. Deze query's moeten worden uitgevoerd voor verschillende logcategorieën om te verifiëren dat alle geselecteerde categorieën correct worden geëxporteerd. Voor het opslagaccount kan de verificatie worden gedaan door te controleren of nieuwe blob-bestanden worden aangemaakt in de container waar de loggegevens worden opgeslagen. Het is belangrijk om te realiseren dat er een vertraging kan zijn tussen het genereren van activiteitenloggegevens en het beschikbaar komen in de exportbestemmingen, waarbij deze vertraging normaal gesproken enkele minuten tot een uur bedraagt. De verificatie dat de retentie-instellingen niet zijn gewijzigd is essentieel omdat wijzigingen in deze instellingen directe invloed hebben op de compliance-status van de organisatie. Voor de Log Analytics Workspace moet worden gecontroleerd of de retentieperiode nog steeds is ingesteld op minimaal 365 dagen. Deze verificatie kan worden gedaan via de Azure Portal door de workspace-instellingen te controleren, of programmatisch via PowerShell of Azure CLI. Voor het opslagaccount moet worden gecontroleerd of de onveranderlijke retention policy nog steeds actief is en of de retentieperiode nog steeds is ingesteld op 7 jaar. Het is belangrijk om te realiseren dat wijzigingen in de retention policy van een opslagaccount met onveranderlijke opslag niet mogelijk zijn voordat de retentieperiode is verstreken, wat betekent dat deze verificatie voornamelijk dient om te bevestigen dat de policy nog steeds actief is. Naast de verificatie van de configuratie moeten organisaties ook monitoren of de opslagcapaciteit voldoende is voor de verwachte retentieperiode. Voor de Log Analytics Workspace betekent dit het monitoren van het data-ingestion volume en het controleren of de workspace nog voldoende capaciteit heeft om loggegevens op te slaan voor de volledige retentieperiode van 365 dagen. Voor het opslagaccount betekent dit het monitoren van de gebruikte opslagcapaciteit en het controleren of er voldoende ruimte is om loggegevens op te slaan voor de volledige retentieperiode van 7 jaar. Het is belangrijk om proactief te monitoren omdat het uitbreiden van de opslagcapaciteit tijd kan kosten, en het is essentieel om te voorkomen dat de opslagcapaciteit volledig wordt benut voordat de retentieperiode is verstreken. Het monitoren van fouten tijdens de export van loggegevens is een kritiek aspect van de monitoring omdat deze fouten kunnen wijzen op configuratieproblemen of capaciteitsproblemen die moeten worden opgelost. Fouten tijdens de export kunnen optreden om verschillende redenen, zoals onvoldoende rechten voor de diagnostische instelling om naar de bestemming te schrijven, capaciteitsproblemen bij de bestemming, of netwerkproblemen die de export verhinderen. Deze fouten worden meestal geregistreerd in het activiteitenlogboek zelf, wat betekent dat organisaties regelmatig moeten controleren op foutmeldingen die gerelateerd zijn aan de export van loggegevens. Het is belangrijk om deze fouten snel te identificeren en op te lossen omdat fouten tijdens de export kunnen leiden tot het verlies van loggegevens die niet kunnen worden hersteld. Het configureren van Azure Monitor waarschuwingen is een aanbevolen praktijk die organisaties helpt om snel te reageren op configuratiewijzigingen die de compliance kunnen beïnvloeden. Deze waarschuwingen moeten worden geconfigureerd om een melding te geven wanneer diagnostische instellingen worden gewijzigd of verwijderd, of wanneer de export van loggegevens faalt. De waarschuwingen kunnen worden geconfigureerd om e-mailmeldingen te sturen naar beheerders of om te integreren met incident management systemen voor geautomatiseerde respons. Het is belangrijk om te realiseren dat deze waarschuwingen alleen effectief zijn als ze regelmatig worden gecontroleerd en als er procedures zijn voor het reageren op waarschuwingen. Organisaties moeten daarom procedures hebben voor het beheren van waarschuwingen, inclusief procedures voor het verifiëren van waarschuwingen en het nemen van corrigerende maatregelen wanneer nodig. Naast de technische monitoring moeten organisaties ook procesmatige monitoring uitvoeren om te waarborgen dat de retentie-configuratie blijft voldoen aan de compliance-vereisten. Dit omvat het regelmatig evalueren van de retentieperiode om te bepalen of deze nog steeds voldoet aan de huidige compliance-vereisten, het controleren of er nieuwe normen of regelgeving zijn die aanvullende eisen stellen aan logretentie, en het evalueren van de effectiviteit van de monitoringprocessen zelf. Deze procesmatige monitoring moet worden uitgevoerd als onderdeel van de reguliere compliance- en beveiligingsreviews en moet worden gedocumenteerd voor auditdoeleinden. Het is belangrijk om te realiseren dat compliance-vereisten kunnen veranderen, en dat organisaties daarom regelmatig moeten evalueren of hun retentie-configuratie nog steeds voldoet aan de huidige vereisten.
Remediatie
Gebruik PowerShell-script activity-log-retention-365-days.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer activiteitenlogboeken niet correct worden bewaard voor de vereiste periode, moeten organisaties onmiddellijk actie ondernemen om de configuratie te herstellen en verdere verliezen van loggegevens te voorkomen. Het niet hebben van adequate logretentie kan leiden tot ernstige compliance-problemen, beperkingen in forensische analyses, en het niet kunnen aantonen van naleving van beveiligingsbeleid en regelgeving. Het is daarom essentieel dat organisaties een gestructureerd remediatieproces hebben dat snel kan worden geactiveerd wanneer problemen worden geïdentificeerd. Het eerste wat moet worden gedaan wanneer problemen worden geïdentificeerd is het uitvoeren van een grondige analyse om de omvang en impact van het probleem te begrijpen. Deze analyse moet omvatten het identificeren van wanneer het probleem is begonnen, welke loggegevens mogelijk zijn verloren, en wat de oorzaak is van het probleem. Het is belangrijk om te realiseren dat loggegevens die al zijn verwijderd of verloren zijn gegaan niet kunnen worden hersteld, wat betekent dat organisaties moeten accepteren dat bepaalde historische gegevens mogelijk niet meer beschikbaar zijn. Deze analyse moet worden gedocumenteerd voor auditdoeleinden en kan belangrijk zijn voor het begrijpen van de volledige impact van het probleem. Als diagnostische instellingen ontbreken of onjuist zijn geconfigureerd, moeten deze onmiddellijk worden aangemaakt of aangepast met de juiste retentie-instellingen. Het aanmaken van nieuwe diagnostische instellingen moet worden gedaan volgens dezelfde procedures als bij de oorspronkelijke implementatie, waarbij zorg moet worden genomen om alle relevante logcategorieën te selecteren en beide bestemmingen correct te configureren. Het is belangrijk om te realiseren dat nieuwe diagnostische instellingen alleen van toepassing zijn op nieuwe loggegevens die na de configuratie worden gegenereerd, wat betekent dat historische gegevens die al zijn verloren niet kunnen worden hersteld door het aanmaken van nieuwe instellingen. Voor Log Analytics Workspaces moet de retentieperiode worden ingesteld op minimaal 365 dagen via de workspace-instellingen. Als de retentieperiode korter is ingesteld, moet deze onmiddellijk worden aangepast naar minimaal 365 dagen. Het is belangrijk om te realiseren dat het aanpassen van de retentieperiode alleen van toepassing is op nieuwe loggegevens die na de wijziging worden ontvangen, wat betekent dat bestaande loggegevens die al zijn opgeslagen met een kortere retentieperiode niet automatisch worden verlengd. Organisaties moeten daarom proactief monitoren en ervoor zorgen dat de retentieperiode vanaf het begin correct is ingesteld. Voor opslagaccounts moet een onveranderlijke retention policy worden geconfigureerd met een periode van 7 jaar voor compliance met BIO-normen. Als deze policy ontbreekt of onjuist is geconfigureerd, moet deze onmiddellijk worden aangemaakt of aangepast. Het is belangrijk om te realiseren dat het configureren van een onveranderlijke retention policy een onomkeerbare actie is die niet kan worden ongedaan gemaakt voordat de retentieperiode is verstreken. Dit betekent dat organisaties zorgvuldig moeten zijn bij het configureren van deze policy en moeten verifiëren dat alle instellingen correct zijn voordat de policy wordt geactiveerd. In gevallen waar loggegevens zijn verloren, moeten organisaties dit documenteren en indien nodig melden aan relevante autoriteiten, afhankelijk van de specifieke compliance-vereisten. Deze documentatie moet omvatten een beschrijving van het probleem, de omvang van het verlies, de oorzaak van het probleem, en de maatregelen die zijn genomen om het probleem op te lossen en te voorkomen dat het opnieuw optreedt. Voor sommige compliance-normen kan het verlies van loggegevens moeten worden gemeld aan toezichthouders of andere relevante autoriteiten, vooral als het verlies van invloed kan zijn op de naleving van privacy- of beveiligingsvereisten. Het is belangrijk om te realiseren dat het niet melden van dergelijke problemen kan leiden tot aanvullende compliance-problemen en mogelijke boetes. Preventieve maatregelen zijn essentieel om te voorkomen dat problemen met logretentie optreden. Regelmatige audits van de retentie-configuratie kunnen helpen om problemen vroegtijdig te identificeren voordat ze leiden tot het verlies van loggegevens. Deze audits moeten worden uitgevoerd als onderdeel van de reguliere beveiligings- en compliance-processen en moeten worden gedocumenteerd voor auditdoeleinden. Geautomatiseerde monitoring kan ook helpen om problemen snel te identificeren door automatisch te controleren op configuratiewijzigingen of fouten tijdens de export van loggegevens. Deze monitoring moet worden geconfigureerd met waarschuwingen die beheerders onmiddellijk op de hoogte stellen wanneer problemen worden geïdentificeerd. Naast technische preventieve maatregelen moeten organisaties ook procesmatige maatregelen implementeren om te voorkomen dat problemen optreden. Dit omvat het hebben van duidelijke procedures voor het beheren van retentie-configuraties, het trainen van beheerders in de juiste configuratie en het implementeren van change management processen die ervoor zorgen dat wijzigingen in de configuratie worden gereviewd en goedgekeurd voordat ze worden toegepast. Het is belangrijk om te realiseren dat veel problemen met logretentie het gevolg zijn van menselijke fouten, zoals het per ongeluk verwijderen van diagnostische instellingen of het wijzigen van retentie-instellingen zonder te realiseren wat de impact is. Door duidelijke procedures en training te implementeren kunnen organisaties deze risico's aanzienlijk verminderen. Het is ook belangrijk om te realiseren dat remediatie niet alleen gaat over het herstellen van de configuratie, maar ook over het leren van het probleem en het verbeteren van de processen om te voorkomen dat het probleem opnieuw optreedt. Organisaties moeten daarom een post-incident review uitvoeren na het oplossen van problemen met logretentie, waarbij wordt geëvalueerd wat er is gebeurd, wat de oorzaak was, en wat kan worden gedaan om te voorkomen dat het probleem opnieuw optreedt. Deze reviews moeten worden gedocumenteerd en de lessen die worden geleerd moeten worden geïntegreerd in de bestaande processen en procedures. Door continu te leren en te verbeteren kunnen organisaties hun beveiligings- en compliance-capaciteiten versterken en de kans op toekomstige problemen verminderen.
Compliance & Frameworks
- BIO: 12.04.03 -
- ISO 27001:2022: A.12.4.1 -
- NIS2: Artikel -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Azure: Activity loggen Retention 365+ Days
.DESCRIPTION
Implementeert, monitort en herstelt: Azure: Activity loggen Retention 365+ Days
.NOTES
Filename: activity-log-retention-365-days.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Workload: Azure
Category: logging-monitoring
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param()
$ErrorActionPreference = 'Stop'
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Invoke-Implementation - Azure: Activity loggen Retention 365+ Days" -ForegroundColor Cyan
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Azure: Activity loggen Retention 365+ Days - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
if (-not (Get-AzContext)) {
Connect-AzAccount | Out-Null
}
# TODO: Implementeer monitoring logica voor Azure: Activity loggen Retention 365+ Days
Write-Host "[INFO] Monitoring check voor Azure: Activity loggen Retention 365+ Days" -ForegroundColor Yellow
Write-Host "[OK] Monitoring check completed" -ForegroundColor Green
}
catch {
Write-Error "Monitoring failed: $_"
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Azure: Activity loggen Retention 365+ Days - Remediation" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
if (-not (Get-AzContext)) {
Connect-AzAccount | Out-Null
}
# TODO: Implementeer remediation logica voor Azure: Activity loggen Retention 365+ Days
Write-Host "[INFO] Remediation voor Azure: Activity loggen Retention 365+ Days" -ForegroundColor Yellow
Write-Host "[OK] Remediation completed" -ForegroundColor Green
}
catch {
Write-Error "Remediation failed: $_"
throw
}
}
Risico zonder implementatie
Risico zonder implementatie
High: Een retentieperiode van 90 dagen voor activiteitenlogboeken is onvoldoende voor onderzoek naar geavanceerde persistente bedreigingen (APT), waarbij de gemiddelde periode tussen compromittering en detectie meer dan 6 maanden bedraagt. Bovendien leidt dit tot schendingen van compliance-vereisten zoals BIO die een retentie van 7 jaar vereist. De CIS Benchmark controle 5.1.1 en BIO controle 12.04 verplichten uitgebreide logretentie. Het risico is hoog omdat zonder adequate retentie forensische analyses niet kunnen worden uitgevoerd en organisaties niet kunnen aantonen dat zij voldoen aan wettelijke verplichtingen.
Management Samenvatting
Activiteitenlogboek Retentie 365+: Exporteer activiteitenlogboeken naar Log Analytics (365+ dagen retentie) en archiefopslag (7 jaar voor BIO/ISO compliance). Activering: Diagnostische instellingen → Activiteitenlogboek → Doorsturen naar Log Analytics Workspace en archiefopslag. Kosten: €50-200 per maand afhankelijk van logvolume. Verplicht volgens CIS 5.1.1 en BIO 12.04. Implementatietijd: 3-6 uur. Essentieel voor compliance en forensische analyses.
- Implementatietijd: 6 uur
- FTE required: 0.03 FTE