💼 Management Samenvatting
Deze beveiligingsmaatregel waarborgt de correcte configuratie van netwerkbeveiligingsgroepen en beschermt tegen kritieke beveiligingsrisico's door onmiddellijke waarschuwingen te genereren wanneer netwerkbeveiligingsgroepen worden verwijderd.
Aanbeveling
Implementeer NSG-verwijderingswaarschuwingen
Risico zonder
Critical
Risk Score
9/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
Deze instelling is essentieel voor het handhaven van een veilige Azure-omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbeste praktijken. Het verwijderen van een netwerkbeveiligingsgroep (NSG) kan leiden tot onmiddellijke blootstelling van virtuele machines en netwerkbronnen aan ongeautoriseerde toegang, waardoor de volledige netwerkbeveiliging wordt ondermijnd.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Monitor
Connection:
Connect-AzAccountRequired Modules: Az.Monitor
Implementatie
Deze beveiligingsmaatregel configureert een Azure Monitor-waarschuwing die automatisch wordt geactiveerd wanneer een verwijderingsoperatie wordt uitgevoerd op een netwerkbeveiligingsgroep (Microsoft.Network/networkSecurityGroups/delete). Deze waarschuwing zorgt ervoor dat beveiligingsteams onmiddellijk op de hoogte worden gesteld van kritieke wijzigingen in de netwerkbeveiligingsconfiguratie.
Vereisten
Voor de implementatie van NSG-verwijderingswaarschuwingen zijn specifieke vereisten noodzakelijk om ervoor te zorgen dat de waarschuwingen correct functioneren en betrouwbare beveiligingsinformatie leveren. De belangrijkste vereiste betreft de configuratie van activiteitenlogboekregistratie naar een Log Analytics-werkruimte (LAW). Deze configuratie is essentieel omdat Azure Monitor-waarschuwingen afhankelijk zijn van de activiteitenlogboeken om wijzigingsgebeurtenissen te detecteren en te analyseren. Zonder een correct geconfigureerde Log Analytics-werkruimte kunnen waarschuwingen niet worden gegenereerd omdat de benodigde loggegevens niet beschikbaar zijn voor analyse en monitoring.
De activiteitenlogboekregistratie naar een Log Analytics-werkruimte moet worden geconfigureerd voor alle relevante Azure-abonnementen en resourcegroepen waar netwerkbeveiligingsgroepen worden gebruikt. Deze configuratie moet worden uitgevoerd op abonnementsniveau om ervoor te zorgen dat alle activiteitenlogboekgebeurtenissen worden vastgelegd, ongeacht in welke resourcegroep de netwerkbeveiligingsgroepen zich bevinden. Organisaties moeten ervoor zorgen dat de activiteitenlogboekregistratie is ingeschakeld met een retentieperiode die voldoet aan compliancevereisten, typisch minimaal 90 dagen voor operationele doeleinden en tot 7 jaar voor audit- en compliance-doeleinden zoals vereist door de Baseline Informatiebeveiliging Overheid (BIO) en andere relevante regelgeving.
Naast de technische vereisten voor logboekregistratie zijn er ook organisatorische vereisten die moeten worden vervuld voordat NSG-verwijderingswaarschuwingen kunnen worden geïmplementeerd. Beveiligingsteams moeten beschikken over de juiste Azure-rollen en machtigingen om waarschuwingsregels te configureren en te beheren. De rol van Monitoring Contributor of een aangepaste rol met specifieke machtigingen voor het maken en beheren van waarschuwingsregels is noodzakelijk. Deze rol moet worden toegewezen aan beveiligingsmedewerkers die verantwoordelijk zijn voor het configureren en onderhouden van beveiligingswaarschuwingen. Daarnaast moeten beveiligingsteams toegang hebben tot de Log Analytics-werkruimte om loggegevens te kunnen analyseren en te verifiëren dat waarschuwingen correct worden gegenereerd wanneer verwijderingsoperaties plaatsvinden.
Voor de configuratie van actiegroepen die worden gebruikt voor waarschuwingsmeldingen zijn aanvullende vereisten van toepassing. Actiegroepen vormen de kern van het waarschuwingssysteem omdat ze bepalen wie wordt geïnformeerd wanneer een NSG-verwijdering wordt gedetecteerd. Deze actiegroepen moeten worden geconfigureerd met de juiste contactpersonen binnen het beveiligingsteam, inclusief primaire en secundaire contactpersonen om ervoor te zorgen dat meldingen altijd worden ontvangen, zelfs buiten kantooruren of wanneer primaire contactpersonen niet beschikbaar zijn. Actiegroepen kunnen worden geconfigureerd met verschillende communicatiekanalen, zoals e-mailadressen voor directe meldingen, SMS-nummers voor urgente waarschuwingen, of integraties met systemen zoals Microsoft Teams voor teamcommunicatie of ServiceNow voor geautomatiseerde incidentbeheer. Deze actiegroepen moeten regelmatig worden getest om ervoor te zorgen dat meldingen betrouwbaar worden afgeleverd en dat beveiligingsteams onmiddellijk kunnen reageren op kritieke gebeurtenissen. Testen moet worden uitgevoerd minstens eenmaal per kwartaal en na elke wijziging in de actiegroepconfiguratie.
Ten slotte is het belangrijk dat organisaties een duidelijk proces hebben voor het reageren op NSG-verwijderingswaarschuwingen voordat de waarschuwingen worden geïmplementeerd. Dit proces moet definiëren wie verantwoordelijk is voor het onderzoeken van waarschuwingen wanneer deze worden gegenereerd, welke stappen moeten worden ondernomen bij een onbevoegde verwijdering, en hoe incidenten moeten worden gedocumenteerd en geëscaleerd naar management of externe partijen indien nodig. Het proces moet ook specificeren welke informatie moet worden verzameld tijdens het onderzoek, zoals activiteitenlogboekgegevens, gebruikersidentiteiten, en tijdsstempels, en hoe deze informatie moet worden gebruikt om te bepalen of de verwijdering legitiem was of een beveiligingsincident vertegenwoordigt. Deze organisatorische vereisten zijn net zo belangrijk als de technische configuratie voor het effectief beschermen van de netwerkbeveiliging en het waarborgen van een snelle en effectieve respons op beveiligingsincidenten.
Implementatie
De implementatie van NSG-verwijderingswaarschuwingen vereist een gestructureerde aanpak waarbij waarschuwingsregels worden geconfigureerd in Azure Monitor om automatisch meldingen te genereren wanneer netwerkbeveiligingsgroepen worden verwijderd. Deze implementatie is kritiek voor het behoud van netwerkbeveiliging en het voorkomen van onbevoegde wijzigingen die kunnen leiden tot blootstelling van gevoelige systemen en gegevens. De implementatie moet worden uitgevoerd volgens een gestructureerd proces dat begint met de voorbereiding van de omgeving, gevolgd door de configuratie van waarschuwingsregels, actiegroepen, en eindigt met uitgebreide tests om ervoor te zorgen dat het systeem correct functioneert.
Gebruik PowerShell-script alert-nsg-delete.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie begint met het configureren van een waarschuwingsregel in Azure Monitor die specifiek gericht is op de verwijderingsoperatie van netwerkbeveiligingsgroepen. Deze waarschuwingsregel maakt gebruik van de activiteitenlogboeken om gebeurtenissen te detecteren waarbij de bewerking Microsoft.Network/networkSecurityGroups/delete wordt uitgevoerd. De regel wordt geconfigureerd met een query die alle verwijderingsgebeurtenissen identificeert, ongeacht of deze worden uitgevoerd door bevoegde gebruikers of potentieel door aanvallers die toegang hebben verkregen tot beheerdersaccounts. De waarschuwingsregel moet worden geconfigureerd met een duidelijke naam die aangeeft dat het gaat om NSG-verwijderingswaarschuwingen, en moet worden geplaatst in een logische resourcegroep die is gereserveerd voor beveiligingswaarschuwingen en monitoringconfiguraties.
Een essentieel onderdeel van de implementatie is de configuratie van een actiegroep die wordt gebruikt voor het verzenden van waarschuwingsmeldingen. Deze actiegroep moet worden geconfigureerd met de juiste contactpersonen binnen het beveiligingsteam, inclusief primaire en secundaire contactpersonen om ervoor te zorgen dat meldingen altijd worden ontvangen, zelfs buiten kantooruren of wanneer primaire contactpersonen niet beschikbaar zijn. De actiegroep kan worden geconfigureerd om meldingen te verzenden via meerdere kanalen om de betrouwbaarheid van de meldingen te waarborgen. E-mailmeldingen zijn geschikt voor gedetailleerde informatie en documentatie, SMS-nummers zijn effectief voor urgente waarschuwingen die onmiddellijke aandacht vereisen, pushmeldingen via de Azure-app zorgen voor real-time notificaties op mobiele apparaten, en integraties met externe systemen zoals Microsoft Teams, Slack, of ServiceNow maken geautomatiseerde incidentbeheer mogelijk waarbij waarschuwingen direct worden omgezet in incidenttickets.
Tijdens de implementatie moet aandacht worden besteed aan de configuratie van de waarschuwingsvoorwaarden en drempelwaarden. Hoewel elke verwijdering van een netwerkbeveiligingsgroep kritiek is en moet worden gemeld, kan het nuttig zijn om aanvullende filters te configureren die helpen bij het identificeren van de meest kritieke scenario's en het verminderen van valse positieven. Waarschuwingen kunnen worden geprioriteerd op basis van de resourcegroep waarin de NSG zich bevindt, waarbij productieomgevingen een hogere prioriteit krijgen dan ontwikkel- of testomgevingen. Tags kunnen worden gebruikt om NSG's te markeren die worden gebruikt voor productieomgevingen met gevoelige gegevens, waardoor waarschuwingen voor deze NSG's kunnen worden geconfigureerd met een hogere urgentie of met aanvullende meldingskanalen. Daarnaast kunnen filters worden geconfigureerd op basis van de gebruiker of service principal die de verwijdering heeft uitgevoerd, waardoor waarschuwingen kunnen worden gegenereerd met verschillende prioriteiten afhankelijk van of de verwijdering werd uitgevoerd door een bekende beheerder of door een onbekende of verdachte entiteit.
Na de configuratie van de waarschuwingsregel en actiegroep moet de implementatie worden getest om ervoor te zorgen dat waarschuwingen correct worden gegenereerd en meldingen betrouwbaar worden afgeleverd. Dit testproces moet worden uitgevoerd in een testomgeving of met een test-NSG die specifiek voor dit doel is aangemaakt om te voorkomen dat productiesystemen worden beïnvloed. Het testen moet verifiëren dat waarschuwingen worden gegenereerd binnen enkele minuten na een verwijderingsoperatie, wat essentieel is voor een snelle respons op beveiligingsincidenten. Daarnaast moet het testen verifiëren dat meldingen correct worden afgeleverd aan alle geconfigureerde contactpersonen via alle geconfigureerde communicatiekanalen, en dat de waarschuwingsdetails voldoende informatie bevatten voor het beveiligingsteam om snel te kunnen reageren. De waarschuwingsdetails moeten informatie bevatten zoals de naam van de verwijderde NSG, de resourcegroep waarin deze zich bevond, de gebruiker of service principal die de verwijdering heeft uitgevoerd, het tijdstip van de verwijdering, en eventuele aanvullende context die kan helpen bij het beoordelen van de ernst van de gebeurtenis.
De implementatie moet ook rekening houden met de schaalbaarheid en het beheer van waarschuwingen op organisatieniveau. Voor organisaties met meerdere Azure-abonnementen moeten waarschuwingsregels worden geconfigureerd voor elk abonnement om ervoor te zorgen dat alle netwerkbeveiligingsgroepen worden beschermd, ongeacht in welk abonnement ze zich bevinden. Dit kan handmatig worden gedaan door waarschuwingsregels te configureren voor elk abonnement, maar een efficiëntere aanpak is het gebruik van Azure Policy-definities die automatisch waarschuwingsregels implementeren voor nieuwe abonnementen wanneer deze worden aangemaakt. Deze aanpak zorgt ervoor dat nieuwe abonnementen automatisch worden beschermd zonder handmatige interventie, wat essentieel is voor organisaties die regelmatig nieuwe abonnementen aanmaken of die werken met dynamische cloudomgevingen. Daarnaast moeten waarschuwingsregels worden gedocumenteerd in de organisatorische documentatie, inclusief informatie over de configuratie, de bijbehorende actiegroepen, en de verwachte responsprocessen. Deze documentatie moet worden opgenomen in de standaard beveiligingsconfiguratie voor nieuwe Azure-omgevingen om ervoor te zorgen dat alle nieuwe omgevingen vanaf het begin worden beschermd met NSG-verwijderingswaarschuwingen.
Compliance en Audit
De implementatie van NSG-verwijderingswaarschuwingen is een kritieke vereiste voor naleving van verschillende beveiligingsstandaarden en nalevingskaders die worden gebruikt door Nederlandse overheidsorganisaties. Deze beveiligingsmaatregel draagt direct bij aan het voldoen aan de vereisten van het CIS Microsoft Azure Foundations Benchmark en de Baseline Informatiebeveiliging Overheid (BIO), die beide specifieke eisen stellen aan het monitoren en waarschuwen van kritieke netwerkbeveiligingswijzigingen. Naleving van deze standaarden is niet alleen een technische vereiste, maar vormt ook een fundamenteel onderdeel van de beveiligingsstrategie van organisaties die werken met gevoelige gegevens en kritieke infrastructuren.
De CIS Microsoft Azure Foundations Benchmark controle 5.2.3 vereist expliciet dat organisaties waarschuwingen configureren voor het verwijderen van netwerkbeveiligingsgroepen. Deze controle maakt deel uit van de logging- en monitoringrichtlijnen die zijn ontworpen om ervoor te zorgen dat organisaties onmiddellijk worden gewaarschuwd over kritieke wijzigingen in hun netwerkbeveiligingsconfiguratie. De controle is geclassificeerd als Level 1, wat betekent dat deze als basisvereiste wordt beschouwd voor alle organisaties, ongeacht hun omvang of complexiteit. Naleving van deze controle is essentieel voor organisaties die streven naar CIS Level 1 of Level 2 certificering, wat vaak een vereiste is voor overheidscontracten en samenwerking met andere publieke organisaties. Organisaties die niet voldoen aan deze controle kunnen worden uitgesloten van bepaalde contracten of samenwerkingsverbanden, wat de bedrijfsvoering kan beïnvloeden.
De Baseline Informatiebeveiliging Overheid (BIO) norm 12.04 stelt eisen aan monitoring en logging van beveiligingsgebeurtenissen. Deze norm vereist dat organisaties passende maatregelen treffen om kritieke beveiligingsgebeurtenissen te detecteren en te monitoren, inclusief wijzigingen in netwerkbeveiligingsconfiguraties. NSG-verwijderingswaarschuwingen dragen direct bij aan het voldoen aan deze norm door ervoor te zorgen dat beveiligingsteams onmiddellijk worden geïnformeerd over wijzigingen die de netwerkbeveiliging kunnen compromitteren. De BIO-normen zijn specifiek ontwikkeld voor Nederlandse overheidsorganisaties en vormen de basis voor informatiebeveiliging binnen de publieke sector. Naleving van deze normen is verplicht voor alle overheidsorganisaties en wordt regelmatig gecontroleerd door interne en externe auditors.
Naast CIS en BIO-normen dragen NSG-verwijderingswaarschuwingen ook bij aan naleving van de Algemene Verordening Gegevensbescherming (AVG), met name artikel 32 dat vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen. Het verwijderen van netwerkbeveiligingsgroepen kan leiden tot blootstelling van systemen die persoonsgegevens verwerken, waardoor adequate monitoring en waarschuwingen essentieel zijn voor AVG-naleving. Artikel 32 van de AVG vereist specifiek dat organisaties passende technische maatregelen implementeren om de beveiliging van persoonsgegevens te waarborgen, en het monitoren van kritieke netwerkbeveiligingswijzigingen vormt een essentieel onderdeel van deze maatregelen. Organisaties die niet voldoen aan deze vereisten kunnen worden geconfronteerd met boetes van de Autoriteit Persoonsgegevens (AP), die kunnen oplopen tot vier procent van de wereldwijde jaaromzet of twintig miljoen euro, afhankelijk van wat hoger is.
Voor auditdoeleinden moeten organisaties kunnen aantonen dat waarschuwingsregels correct zijn geconfigureerd en actief zijn. Dit vereist regelmatige verificatie dat waarschuwingsregels bestaan, correct zijn geconfigureerd met de juiste voorwaarden en actiegroepen, en dat waarschuwingen daadwerkelijk worden gegenereerd wanneer verwijderingsoperaties plaatsvinden. Deze verificatie moet worden uitgevoerd minstens eenmaal per kwartaal en na elke wijziging in de waarschuwingsconfiguratie. Auditlogboeken moeten worden bewaard voor de vereiste retentieperiode, typisch minimaal 7 jaar voor overheidsorganisaties, om te voldoen aan compliance- en auditvereisten. Deze logboeken moeten toegankelijk zijn voor auditors en moeten voldoende detail bevatten om te verifiëren dat waarschuwingen correct zijn geconfigureerd en functioneren zoals bedoeld. Organisaties moeten ook kunnen aantonen dat waarschuwingsregels consistent zijn geconfigureerd voor alle relevante Azure-abonnementen en dat nieuwe abonnementen automatisch worden voorzien van de juiste waarschuwingsconfiguraties.
Organisaties moeten ook kunnen aantonen dat er processen zijn voor het reageren op waarschuwingen en dat beveiligingsteams adequaat zijn getraind in het identificeren en reageren op NSG-verwijderingsincidenten. Deze processen moeten worden gedocumenteerd in het informatiebeveiligingsbeleid van de organisatie en moeten specificeren wie verantwoordelijk is voor het onderzoeken van waarschuwingen, welke stappen moeten worden ondernomen bij verschillende scenario's, en hoe incidenten moeten worden geëscaleerd naar management of externe partijen indien nodig. De processen moeten regelmatig worden getest door middel van oefeningen of simulaties om ervoor te zorgen dat ze effectief zijn en voldoen aan compliancevereisten. Regelmatige compliance-audits moeten verifiëren dat waarschuwingsregels correct functioneren, dat incidentresponsprocessen adequaat zijn geïmplementeerd, en dat beveiligingsteams de benodigde kennis en vaardigheden hebben om effectief te reageren op NSG-verwijderingsincidenten. Deze audits moeten worden uitgevoerd door onafhankelijke auditors die gespecialiseerd zijn in cloudbeveiliging en compliance, en de resultaten moeten worden gedocumenteerd en beschikbaar zijn voor toekomstige verificaties.
Monitoring
Effectieve monitoring van NSG-verwijderingswaarschuwingen vereist een continue controle op de configuratie en functionaliteit van waarschuwingsregels om ervoor te zorgen dat ze correct functioneren en betrouwbare beveiligingsinformatie leveren. Monitoring moet niet alleen verifiëren dat waarschuwingsregels bestaan en actief zijn, maar ook dat ze correct zijn geconfigureerd met de juiste voorwaarden, actiegroepen, en dat ze daadwerkelijk waarschuwingen genereren wanneer verwijderingsoperaties plaatsvinden. Monitoring vormt een essentieel onderdeel van het beveiligingsbeheer omdat het ervoor zorgt dat beveiligingsmaatregelen effectief blijven en dat eventuele problemen of configuratiefouten snel worden geïdentificeerd en opgelost.
Gebruik PowerShell-script alert-nsg-delete.ps1 (functie Invoke-Monitoring) – Controleren.
Regelmatige monitoring moet verifiëren dat waarschuwingsregels correct zijn geconfigureerd voor alle relevante Azure-abonnementen en resourcegroepen. Dit omvat het controleren van de waarschuwingsregelconfiguratie om ervoor te zorgen dat deze correct is ingesteld om verwijderingsoperaties te detecteren, dat de juiste actiegroepen zijn gekoppeld, en dat de waarschuwingsregels actief zijn en niet zijn uitgeschakeld of verwijderd. Monitoring moet ook verifiëren dat actiegroepen correct zijn geconfigureerd met actuele contactgegevens en dat alle geconfigureerde communicatiekanalen functioneren zoals bedoeld. Deze verificatie moet worden uitgevoerd minstens eenmaal per maand, en vaker wanneer er wijzigingen zijn aangebracht in de waarschuwingsconfiguratie of wanneer er problemen zijn geïdentificeerd met de waarschuwingsfunctionaliteit. Monitoring moet ook controleren of er geen onbevoegde wijzigingen zijn aangebracht in de waarschuwingsregels, wat kan wijzen op een beveiligingsincident of een configuratiefout.
Naast het controleren van de configuratie moet monitoring ook verifiëren dat waarschuwingen daadwerkelijk worden gegenereerd wanneer verwijderingsoperaties plaatsvinden. Dit kan worden gedaan door het analyseren van waarschuwingsgeschiedenis in Azure Monitor om te verifiëren dat waarschuwingen zijn gegenereerd voor recente verwijderingsoperaties, of door het uitvoeren van periodieke testverwijderingen in een testomgeving om te verifiëren dat het waarschuwingssysteem correct functioneert. Monitoring moet ook verifiëren dat waarschuwingen tijdig worden gegenereerd, idealiter binnen enkele minuten na een verwijderingsoperatie, wat essentieel is voor een snelle respons op beveiligingsincidenten. Als waarschuwingen niet tijdig worden gegenereerd of helemaal niet worden gegenereerd, moet dit worden onderzocht en opgelost om ervoor te zorgen dat het waarschuwingssysteem betrouwbaar blijft. Monitoring moet ook controleren of er geen waarschuwingen zijn gemist of niet zijn afgeleverd, wat kan wijzen op problemen met de waarschuwingsconfiguratie of met de onderliggende logboekregistratie-infrastructuur.
Monitoring moet ook aandacht besteden aan de kwaliteit en volledigheid van waarschuwingsinformatie. Waarschuwingen moeten voldoende detail bevatten om beveiligingsteams in staat te stellen snel te identificeren welke NSG is verwijderd, wie de verwijdering heeft uitgevoerd, wanneer deze heeft plaatsgevonden, en welke impact dit kan hebben op de netwerkbeveiliging. Monitoring moet verifiëren dat waarschuwingsdetails correct zijn en dat alle benodigde informatie beschikbaar is voor effectieve incidentrespons. Als waarschuwingen onvolledige of onjuiste informatie bevatten, moet dit worden geïdentificeerd en opgelost om ervoor te zorgen dat beveiligingsteams de informatie hebben die ze nodig hebben om effectief te reageren op beveiligingsincidenten. Monitoring moet ook controleren of waarschuwingen consistent zijn geformatteerd en of ze voldoen aan de organisatorische standaarden voor beveiligingswaarschuwingen.
Voor organisaties met meerdere Azure-abonnementen moet monitoring worden uitgevoerd op organisatieniveau om ervoor te zorgen dat waarschuwingsregels consistent zijn geconfigureerd voor alle abonnementen. Dit kan worden gedaan door het gebruik van Azure Policy om automatisch waarschuwingsregels te implementeren en te monitoren, of door het gebruik van gecentraliseerde monitoringtools die waarschuwingsconfiguraties kunnen analyseren voor alle abonnementen. Monitoring moet ook verifiëren dat nieuwe abonnementen automatisch worden voorzien van de juiste waarschuwingsconfiguraties, wat essentieel is voor organisaties die regelmatig nieuwe abonnementen aanmaken of die werken met dynamische cloudomgevingen. Gecentraliseerde monitoringtools kunnen helpen bij het identificeren van inconsistenties tussen abonnementen en bij het waarborgen dat alle abonnementen worden beschermd met dezelfde beveiligingsmaatregelen. Monitoring moet ook controleren of er geen abonnementen zijn die niet worden beschermd door waarschuwingsregels, wat kan wijzen op een configuratiefout of een beveiligingslek.
Ten slotte moet monitoring ook aandacht besteden aan de respons op waarschuwingen en de effectiviteit van incidentresponsprocessen. Dit omvat het analyseren van waarschuwingsstatistieken om te identificeren of er patronen zijn in verwijderingsoperaties, het verifiëren dat beveiligingsteams adequaat reageren op waarschuwingen, en het identificeren van gebieden waar verbeteringen kunnen worden aangebracht in de waarschuwingsconfiguratie of incidentresponsprocessen. Monitoring moet bijvoorbeeld controleren of waarschuwingen binnen een redelijke tijd worden onderzocht, of beveiligingsteams adequaat reageren op waarschuwingen, en of er trends zijn in het aantal verwijderingsoperaties die kunnen wijzen op een beveiligingsprobleem of een configuratiefout. Regelmatige monitoringrapporten moeten worden gegenereerd om management en beveiligingsteams te informeren over de status van NSG-verwijderingswaarschuwingen en de effectiviteit van de beveiligingsmaatregelen. Deze rapporten moeten informatie bevatten over het aantal gegenereerde waarschuwingen, de respons tijden, de resultaten van incidentonderzoeken, en aanbevelingen voor verbeteringen aan de waarschuwingsconfiguratie of incidentresponsprocessen.
Remediatie
Wanneer een NSG-verwijderingswaarschuwing wordt gegenereerd, is onmiddellijke remediatie essentieel om de netwerkbeveiliging te herstellen en te voorkomen dat systemen en gegevens worden blootgesteld aan ongeautoriseerde toegang. Remediatie moet worden uitgevoerd volgens een gestructureerd proces dat begint met het verifiëren van de waarschuwing, het beoordelen van de impact, en het nemen van passende maatregelen om de beveiliging te herstellen. De snelheid van de remediatie is cruciaal omdat elke minuut dat een netwerkbeveiligingsgroep ontbreekt, systemen blootstelt aan potentiële aanvallen en ongeautoriseerde toegang. Het remediatieproces moet daarom worden geoptimaliseerd voor snelheid zonder de kwaliteit en volledigheid van de respons in gevaar te brengen.
Gebruik PowerShell-script alert-nsg-delete.ps1 (functie Invoke-Remediation) – Herstellen.
De eerste stap in het remediatieproces is het verifiëren van de waarschuwing en het beoordelen van de situatie. Beveiligingsteams moeten onmiddellijk controleren of de NSG daadwerkelijk is verwijderd door het analyseren van de activiteitenlogboeken en het verifiëren van de huidige status van de netwerkbeveiligingsgroep in Azure Portal. Deze verificatie moet worden uitgevoerd binnen enkele minuten na het ontvangen van de waarschuwing om ervoor te zorgen dat eventuele beveiligingsproblemen snel worden geïdentificeerd. Als de NSG inderdaad is verwijderd, moet het team bepalen welke virtuele machines en netwerkbronnen zijn blootgesteld en wat de potentiële impact is op de beveiliging van de organisatie. Dit omvat het identificeren van alle resources die waren gekoppeld aan de verwijderde NSG, het beoordelen van de gevoeligheid van de gegevens die door deze resources worden verwerkt, en het bepalen van de potentiële risico's voor de organisatie als gevolg van de verwijdering.
Na verificatie moet het team onmiddellijk actie ondernemen om de beveiliging te herstellen. Als de verwijdering onbevoegd was of verdacht lijkt, moet het team eerst de toegang tot de betrokken resources beperken door het implementeren van tijdelijke netwerkbeveiligingsregels of het isoleren van de betrokken virtuele machines. Deze maatregelen moeten worden genomen voordat verdere stappen worden ondernomen om te voorkomen dat aanvallers gebruik kunnen maken van de blootgestelde resources. Vervolgens moet de oorspronkelijke NSG worden hersteld of een nieuwe NSG worden geconfigureerd met dezelfde beveiligingsregels als de verwijderde NSG. Als de NSG-configuratie niet beschikbaar is in versiebeheer of backup, moet het team de oorspronkelijke beveiligingsregels reconstrueren op basis van documentatie of standaard beveiligingsconfiguraties. Tijdens dit proces moet het team ervoor zorgen dat alle beveiligingsregels correct zijn geconfigureerd en dat er geen beveiligingslekken zijn geïntroduceerd door de reconstructie.
Als de verwijdering legitiem was maar per ongeluk is uitgevoerd, moet het team de NSG herstellen en ervoor zorgen dat de juiste goedkeuringsprocessen worden gevolgd voor toekomstige verwijderingsoperaties. Dit kan het implementeren van Azure Policy-definities omvatten die vereisen dat verwijderingsoperaties worden goedgekeurd door meerdere beheerders, of het configureren van resourcevergrendelingen die voorkomen dat NSG's per ongeluk worden verwijderd. Resourcevergrendelingen kunnen worden geconfigureerd op abonnementsniveau, resourcegroepniveau, of resourceniveau, en kunnen worden ingesteld om verwijderingsoperaties te voorkomen terwijl andere operaties nog steeds zijn toegestaan. Het team moet ook de persoon die de verwijdering heeft uitgevoerd informeren over de impact en ervoor zorgen dat toekomstige verwijderingen correct worden geautoriseerd. Dit kan het organiseren van aanvullende training omvatten of het herzien van toegangscontroles om ervoor te zorgen dat alleen geautoriseerde personen kritieke netwerkbeveiligingsgroepen kunnen verwijderen.
Na het herstellen van de NSG moet het team een volledige beveiligingsbeoordeling uitvoeren om te verifiëren dat er geen aanvullende beveiligingsproblemen zijn ontstaan als gevolg van de verwijdering. Dit omvat het controleren van netwerkverbindingen om te verifiëren dat alle verbindingen correct zijn hersteld en dat er geen ongeautoriseerde verbindingen zijn geactiveerd tijdens de periode waarin de NSG was verwijderd. Het team moet ook verifiëren dat alle beveiligingsregels correct zijn hersteld en dat er geen beveiligingslekken zijn geïntroduceerd door de reconstructie. Daarnaast moet het team activiteitenlogboeken analyseren om te identificeren of er ongeautoriseerde toegang heeft plaatsgevonden tijdens de periode waarin de NSG was verwijderd. Als er tekenen zijn van ongeautoriseerde toegang, moet het team een volledig incidentonderzoek uitvoeren en passende maatregelen nemen om verdere schade te voorkomen. Dit kan het isoleren van gecompromitteerde resources omvatten, het resetten van wachtwoorden en toegangstokens, en het implementeren van aanvullende beveiligingsmaatregelen om toekomstige incidenten te voorkomen.
Het remediatieproces moet ook aandacht besteden aan het voorkomen van toekomstige incidenten. Dit omvat het herzien van toegangscontroles en machtigingen om ervoor te zorgen dat alleen geautoriseerde personen NSG's kunnen verwijderen, het implementeren van aanvullende waarschuwingen en monitoring om vroegtijdig te detecteren wanneer iemand probeert kritieke netwerkbeveiligingsgroepen te verwijderen, en het verbeteren van goedkeuringsprocessen voor kritieke netwerkbeveiligingswijzigingen. Het team moet ook lessen leren uit het incident en deze documenteren om toekomstige incidenten te voorkomen en de responsprocessen te verbeteren. Deze lessen moeten worden gedeeld met andere beveiligingsteams en moeten worden opgenomen in de organisatorische documentatie en trainingmaterialen. Regelmatige evaluatie van toegangscontroles en goedkeuringsprocessen moet worden uitgevoerd om ervoor te zorgen dat ze effectief blijven en dat nieuwe beveiligingsrisico's worden geïdentificeerd en aangepakt.
Ten slotte moet het remediatieproces worden gedocumenteerd voor audit- en compliance-doeleinden. Dit omvat het documenteren van de waarschuwing, de verificatiestappen die zijn uitgevoerd, de genomen remediatiemaatregelen, en de resultaten van de beveiligingsbeoordeling. Deze documentatie moet worden opgeslagen in het incidentbeheersysteem en beschikbaar zijn voor toekomstige audits en compliance-verificaties. De documentatie moet voldoende detail bevatten om auditors en compliance-officers in staat te stellen te verifiëren dat het incident correct is behandeld en dat alle benodigde maatregelen zijn genomen om de beveiliging te herstellen en toekomstige incidenten te voorkomen. Regelmatige evaluatie van remediatieprocessen moet worden uitgevoerd om ervoor te zorgen dat ze effectief zijn en kunnen worden verbeterd op basis van geleerde lessen. Deze evaluatie moet worden uitgevoerd minstens eenmaal per jaar, of vaker wanneer er significante wijzigingen zijn in de beveiligingsomgeving of wanneer er nieuwe beveiligingsrisico's worden geïdentificeerd.
Compliance & Frameworks
- CIS M365: Control 5.2.3 (L1) - Waarschuwing NSG-verwijdering
- BIO: 12.04 - Monitoring
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Alert NSG Delete
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 5.4
Controleert alert voor NSG delete events.
.NOTES
Filename: alert-nsg-delete.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 5.4
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Monitor
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Alert NSG Delete"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$alerts = Get-AzActivityLogAlert -ErrorAction SilentlyContinue
$result = @{ TotalAlerts = $alerts.Count; NSGDeleteAlerts = 0 }
foreach ($alert in $alerts) {
$nsgCondition = $alert.Condition.AllOf | Where-Object {
$_.Field -eq 'resourceType' -and
$_.Equals -like '*Microsoft.Network/networkSecurityGroups*'
}
$deleteCondition = $alert.Condition.AllOf | Where-Object {
$_.Field -eq 'operationName' -and
$_.Equals -like '*delete*'
}
if ($nsgCondition -and $deleteCondition) { $result.NSGDeleteAlerts++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "NSG Delete Alerts: $($r.NSGDeleteAlerts)" -ForegroundColor $(if ($r.NSGDeleteAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.NSGDeleteAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alert voor NSG verwijderingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nNSG Delete Alerts: $($r.NSGDeleteAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "NSG Delete Alerts: $($r.NSGDeleteAlerts)" -ForegroundColor $(if ($r.NSGDeleteAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.NSGDeleteAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alert voor NSG verwijderingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nNSG Delete Alerts: $($r.NSGDeleteAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Het verwijderen van een netwerkbeveiligingsgroep leidt tot onmiddellijke blootstelling van het netwerk. Virtuele machines verliezen hun firewallbescherming en worden kwetsbaar voor aanvallen. Als een aanvaller of ransomware een NSG verwijdert, ontstaat onbeperkte toegang tot gevoelige systemen en gegevens. Deze beveiligingsmaatregel is verplicht voor naleving van CIS 5.2.3 en BIO 12.04. Het risico is kritiek omdat het verwijderen van een firewall de volledige netwerkbeveiliging compromitteert.
Management Samenvatting
NSG-verwijderingswaarschuwing: Azure Monitor-waarschuwing voor verwijderingsgebeurtenissen van netwerkbeveiligingsgroepen. Onmiddellijke melding aan het beveiligingsteam. Configuratie via Azure Monitor → Activiteitenlogboekwaarschuwing → NSG-verwijdering. Geen extra kosten. Verplicht voor CIS 5.2.3 en BIO 12.04. Implementatietijd: 30 minuten. Kritieke netwerkbeveiligingswaarschuwing.
- Implementatietijd: 0.5 uur
- FTE required: 0.01 FTE