💼 Management Samenvatting
Deze beveiligingsmaatregel waarborgt de correcte configuratie en beschermt tegen beveiligingsrisico's door het monitoren van kritieke beleidsacties in uw Azure-omgeving.
Aanbeveling
IMPLEMENTEER WAARSCHUWINGEN VOOR BELEIDSTOEWIJZING-VERWIJDERINGEN
Risico zonder
High
Risk Score
8/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices. Wanneer een aanvaller of onbevoegde gebruiker Azure Policy-toewijzingen verwijdert, worden beveiligingscontroles uitgeschakeld zonder dat dit direct opvalt. Door deze acties te monitoren en direct te waarschuwen, kunnen organisaties tijdig reageren en compliance-handhaving behouden.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Monitor
Connection:
Connect-AzAccountRequired Modules: Az.Monitor
Implementatie
Waarschuwing voor het verwijderen van Azure Policy-toewijzingen: Microsoft.Authorization/policyAssignments/delete. Deze waarschuwing detecteert wanneer iemand een beleidstoewijzing verwijdert uit uw Azure-abonnement of resourcegroep, wat kan duiden op een beveiligingsinbreuk of onbedoelde configuratiewijziging die de beveiligingspostuur van uw organisatie verzwakt.
Vereisten
Voordat u waarschuwingen voor beleidstoewijzing-verwijderingen kunt configureren, moet u ervoor zorgen dat alle benodigde infrastructurele componenten op hun plaats zijn. De primaire vereiste voor deze functionaliteit is dat alle activiteitenlogs naar een Log Analytics Workspace (LAW) worden gestreamd. Dit vormt de basis voor alle monitoring- en waarschuwingsfunctionaliteit binnen Azure. Zonder deze centrale logboekopslag kunnen waarschuwingen niet worden geconfigureerd en kunnen kritieke gebeurtenissen onopgemerkt blijven. Het activiteitenlogboek in Azure registreert alle wijzigingen die worden aangebracht in uw abonnement, inclusief het maken, wijzigen en verwijderen van resources. Wanneer een gebruiker of service-principal een beleidstoewijzing verwijdert, wordt deze actie vastgelegd in het activiteitenlogboek met het operation type Microsoft.Authorization/policyAssignments/delete. Voor het correct functioneren van waarschuwingen moet dit logboek worden doorgevoerd naar een Log Analytics Workspace, waar de waarschuwingsregels de gebeurtenissen kunnen evalueren en indien nodig actie ondernemen. Naast de technische vereiste van logboekopslag is het belangrijk dat de juiste machtigingen aanwezig zijn. De persoon of service-principal die de waarschuwingsregel configureert, moet beschikken over de rol Log Analytics Contributor of Monitoring Contributor op het niveau van de Log Analytics Workspace. Bovendien moeten er voldoende rechten zijn op het abonnement of de resourcegroep waarover waarschuwingen moeten worden geconfigureerd. Dit zijn doorgaans rechten op het niveau van Contributor of Security Admin, afhankelijk van de specifieke configuratievereisten van uw organisatie. Voor organisaties die werken volgens de Nederlandse Baseline voor Veilige Cloud is het belangrijk om te beseffen dat deze waarschuwingen onderdeel uitmaken van een bredere monitoringstrategie. Het activiteitenlogboek moet niet alleen worden gebruikt voor waarschuwingen, maar ook voor forensisch onderzoek en compliance-audits. Daarom is het raadzaam om de retentietijd van het logboek in te stellen op minimaal zeven jaar, conform de eisen van veel Nederlandse overheidsorganisaties en de Algemene Verordening Gegevensbescherming (AVG). Bovendien is het essentieel om te begrijpen dat de configuratie van waarschuwingen voor beleidstoewijzing-verwijderingen niet op zichzelf staat, maar onderdeel is van een uitgebreide beveiligingsarchitectuur. Organisaties moeten ervoor zorgen dat er voldoende netwerkconnectiviteit is tussen de Azure-services en de Log Analytics Workspace, en dat er geen firewallregels zijn die de logboekstreaming blokkeren. In omgevingen met meerdere Azure-abonnementen is het belangrijk om een gecentraliseerde monitoringstrategie te implementeren, waarbij alle activiteitenlogs worden verzameld in een centrale Log Analytics Workspace. Dit vereenvoudigt niet alleen het beheer, maar maakt ook geavanceerde correlatie-analyses mogelijk tussen verschillende abonnementen en resourcegroepen. De implementatie van deze waarschuwingen vereist ook aandacht voor de organisatorische aspecten. Beveiligingsteams moeten worden getraind in het interpreteren van waarschuwingen en het uitvoeren van incident response procedures wanneer een beleidstoewijzing wordt verwijderd. Dit omvat het identificeren van de gebruiker of service-principal die de actie heeft uitgevoerd, het beoordelen van de impact op de beveiligingspostuur, en het nemen van passende maatregelen om de beveiligingscontrole te herstellen. Documentatie van deze procedures is cruciaal voor compliance-doeleinden en helpt bij het waarborgen van consistente respons op beveiligingsincidenten.
Implementatie
Gebruik PowerShell-script alert-policy-assignment-delete.ps1 (functie Invoke-Implementation) – Automatische implementatie via PowerShell-script.
De implementatie van waarschuwingen voor beleidstoewijzing-verwijderingen kan worden uitgevoerd via verschillende methoden. De meest efficiënte manier is door gebruik te maken van het bijbehorende PowerShell-script dat automatisch alle benodigde configuraties aanbrengt. Dit script maakt gebruik van de Azure Monitor REST API's en de Az.Monitor PowerShell-module om een Activity Log Alert-regel te configureren die specifiek bewaakt op de gebeurtenis Microsoft.Authorization/policyAssignments/delete. Het implementatieproces begint met het verbinden van de PowerShell-sessie met uw Azure-omgeving. Dit gebeurt met de cmdlet Connect-AzAccount, waarbij u de juiste referenties opgeeft en indien nodig Multi-Factor Authentication doorloopt. Zodra de verbinding is gelegd, controleert het script of de benodigde Azure PowerShell-modules zijn geïnstalleerd. Met name de Az.Monitor-module is essentieel voor het configureren van Activity Log Alerts. De waarschuwingsregel zelf wordt geconfigureerd op het niveau van een specifiek Azure-abonnement. Dit betekent dat voor elk abonnement waarop u monitoring wilt hebben, een afzonderlijke waarschuwingsregel moet worden geconfigureerd. Het script vereist parameters zoals de abonnement-ID, de naam van de resourcegroep waarin de waarschuwing moet worden opgeslagen, de Log Analytics Workspace-ID waar de gebeurtenissen worden gestreamd, en de actiegroep die moet worden geactiveerd wanneer de waarschuwing wordt geactiveerd. De actiegroep is een belangrijke component van de waarschuwingsconfiguratie. Deze definieert welke acties moeten worden ondernomen wanneer een beleidstoewijzing wordt verwijderd. Typische acties zijn het versturen van e-mailnotificaties naar beveiligingsteams, het verzenden van SMS-berichten naar on-call engineers, het aanmaken van tickets in ITSM-systemen, of het activeren van webhooks die automatische herstelacties kunnen initiëren. Het is cruciaal dat deze actiegroepen worden geconfigureerd voordat de waarschuwingsregel wordt aangemaakt, zodat er direct actie kan worden ondernomen wanneer een incident wordt gedetecteerd. Voor Nederlandse overheidsorganisaties is het belangrijk om tijdens de implementatie rekening te houden met de compliance-eisen. De waarschuwingen moeten worden geconfigureerd met duidelijke beschrijvingen en tags die aangeven dat ze onderdeel uitmaken van de Baseline voor Veilige Cloud implementatie. Bovendien moeten de waarschuwingsregels worden gedocumenteerd in de configuratiemanagementdatabase (CMDB) en moeten processen worden opgesteld voor het beantwoorden van waarschuwingen binnen vastgestelde service level agreements (SLA's). Na de implementatie is het belangrijk om de functionaliteit te testen door een testbeleidstoewijzing te maken en deze vervolgens te verwijderen. Dit moet gebeuren in een gecontroleerde omgeving, zoals een testabonnement, om te verifiëren dat de waarschuwing correct wordt geactiveerd en dat alle geconfigureerde acties worden uitgevoerd. Deze test moet worden herhaald tijdens periodieke compliance-audits om te waarborgen dat de monitoringfunctionaliteit blijft werken zoals verwacht.
Compliance en Auditing
Het monitoren van beleidstoewijzing-verwijderingen is niet alleen een technische best practice, maar vormt ook een essentieel onderdeel van verschillende compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties. De implementatie van deze waarschuwingen draagt direct bij aan het voldoen aan de eisen van zowel het CIS (Center for Internet Security) Azure Foundations Benchmark als de Baseline Informatiebeveiliging Overheid (BIO). De CIS Azure Foundations Benchmark controle 5.2.5 vereist expliciet dat organisaties Activity Log Alerts configureren voor het verwijderen van Policy Assignments. Deze controle is geclassificeerd als Level 1, wat betekent dat het wordt aanbevolen voor alle organisaties die een basisniveau van beveiliging willen handhaven. De CIS Benchmark is een internationaal erkend framework dat specifieke technische controles definieert voor cloudomgevingen, en naleving hiervan wordt vaak vereist door toezichthouders en auditors. Binnen het Nederlandse overheidsdomein is de Baseline Informatiebeveiliging Overheid (BIO) het primaire compliance-framework. Controleregel 12.04 binnen de BIO schrijft voor dat organisaties monitoring moeten implementeren voor kritieke wijzigingen in de beveiligingsconfiguratie. Het verwijderen van beleidstoewijzingen valt duidelijk onder deze categorie, omdat dergelijke acties de beveiligingspostuur van de organisatie direct kunnen beïnvloeden. Door deze gebeurtenissen te monitoren en te waarschuwen, kunnen organisaties aantonen dat zij voldoen aan de BIO-vereiste om proactief te reageren op beveiligingsincidenten. Naast deze specifieke controles draagt de implementatie ook bij aan het voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. Het monitoren van configuratiewijzigingen die de beveiliging van systemen die persoonsgegevens verwerken kunnen beïnvloeden, is een concrete invulling van deze verplichting. Wanneer een audit wordt uitgevoerd, kan de organisatie aantonen dat er processen zijn geïmplementeerd om ongeautoriseerde wijzigingen te detecteren en te reageren. Voor auditingdoeleinden is het belangrijk dat alle waarschuwingen die worden getriggerd worden vastgelegd en beschikbaar blijven voor een periode van minimaal zeven jaar. Dit is vereist voor veel Nederlandse overheidsorganisaties en sluit aan bij de bewaarplicht voor administratieve documenten zoals gedefinieerd in de Archiefwet. De waarschuwingen zelf moeten worden opgeslagen in een gecontroleerde omgeving met logische en fysieke beveiligingsmaatregelen om te voorkomen dat auditlogs worden gemanipuleerd of verwijderd. Tijdens externe audits wordt vaak gevraagd naar bewijs van de werking van monitoring- en waarschuwingssystemen. Daarom is het belangrijk om periodiek testrapporten te genereren die aantonen dat de waarschuwingsregels correct functioneren. Deze rapporten moeten worden bewaard samen met de configuratiedocumentatie en moeten kunnen worden gepresenteerd aan auditors wanneer hierom wordt gevraagd. Het bijhouden van een register met alle geconfigureerde waarschuwingsregels, inclusief hun scope, actiegroepen en testresultaten, vormt een belangrijk onderdeel van een solide compliance-strategie.
Monitoring
Gebruik PowerShell-script alert-policy-assignment-delete.ps1 (functie Invoke-Monitoring) – Automatische controle via PowerShell-script.
Het monitoren van de status en functionaliteit van waarschuwingsregels is een continu proces dat ervoor zorgt dat de beveiligingscontroles blijven functioneren zoals bedoeld. Het bijbehorende PowerShell-script biedt functionaliteit om de huidige status van de waarschuwingsregel te controleren en te verifiëren of deze correct is geconfigureerd en actief is. Regelmatige monitoring voorkomt dat kritieke waarschuwingsregels stilzwijgend stoppen met werken, waardoor beveiligingsincidenten onopgemerkt kunnen blijven. De monitoringfunctie controleert verschillende aspecten van de waarschuwingsconfiguratie. Ten eerste wordt gecontroleerd of de waarschuwingsregel daadwerkelijk bestaat in het Azure-abonnement. Dit lijkt eenvoudig, maar in complexe omgevingen met meerdere abonnementen en resourcegroepen kan het voorkomen dat waarschuwingsregels per ongeluk worden verwijderd tijdens beheeractiviteiten. Ten tweede wordt gecontroleerd of de waarschuwingsregel in de juiste status verkeert, wat betekent dat deze ingeschakeld is en niet is uitgeschakeld voor onderhoud of probleemoplossing. Een belangrijk aspect van de monitoring is het verifiëren van de verbinding tussen de waarschuwingsregel en de actiegroep. Als een actiegroep wordt verwijderd of gewijzigd zonder dat de waarschuwingsregel wordt bijgewerkt, zullen waarschuwingen nog steeds worden geactiveerd maar geen acties meer uitvoeren. Dit wordt wel eens een stille fout genoemd, omdat er geen directe foutmelding wordt gegenereerd. Het monitoring-script controleert deze verbindingen en waarschuwt wanneer er discrepanties worden gevonden. Bovendien controleert de monitoringfunctionaliteit of de waarschuwingsregel toegang heeft tot het activiteitenlogboek en of de juiste filtercriteria zijn geconfigureerd. De regel moet specifiek filteren op het operation type Microsoft.Authorization/policyAssignments/delete en moet de juiste scope hebben (het abonnement of de resourcegroepen waarover moet worden gemonitord). Als deze filters incorrect zijn geconfigureerd, kan de waarschuwing te veel of te weinig gebeurtenissen detecteren, wat resulteert in respectievelijk waarschuwingsmoeheid of gemiste incidenten. Voor Nederlandse overheidsorganisaties is het belangrijk om de monitoringresultaten te documenteren en regelmatig te rapporteren aan de Chief Information Security Officer (CISO) en het management. Deze rapportages moeten aangeven hoeveel waarschuwingen zijn geconfigureerd, hoeveel daarvan actief zijn, hoeveel waarschuwingen zijn geactiveerd in de afgelopen periode, en of er problemen zijn gedetecteerd die moeten worden opgelost. Deze informatie is niet alleen waardevol voor operationeel beheer, maar ook voor compliance-rapportages en risicomanagement. Het wordt aanbevolen om de monitoringfunctionaliteit minstens maandelijks uit te voeren, en bij voorkeur wekelijks voor kritieke omgevingen. In omgevingen met extra beveiliging waar het dreigingsniveau hoog is, kan dagelijkse monitoring wenselijk zijn. Automatisering van deze controles via Azure Automation of andere orchestratie-tools kan ervoor zorgen dat monitoring consistent wordt uitgevoerd zonder dat dit handmatig moet worden geïnitialiseerd door beheerders.
Remediatie
Gebruik PowerShell-script alert-policy-assignment-delete.ps1 (functie Invoke-Remediation) – Automatisch herstellen via PowerShell-script.
Wanneer monitoring aantoont dat een waarschuwingsregel niet correct is geconfigureerd of niet actief is, moet er direct actie worden ondernomen om de beveiligingscontrole te herstellen. Het remediatie-script biedt geautomatiseerde functionaliteit om veelvoorkomende problemen op te lossen en de waarschuwingsregel weer in de juiste staat te brengen. Dit voorkomt dat beveiligingsincidenten onopgemerkt blijven door een defecte monitoringconfiguratie. Een veelvoorkomend scenario is dat een waarschuwingsregel per ongeluk is uitgeschakeld tijdens onderhoudsactiviteiten en vervolgens niet weer is ingeschakeld. Het remediatie-script kan automatisch detecteren wanneer een waarschuwingsregel uitgeschakeld is en deze weer activeren. Voordat dit gebeurt, moet echter worden gecontroleerd of de regel om een goede reden is uitgeschakeld, bijvoorbeeld vanwege een geplande onderhoudsperiode. Het script biedt daarom de mogelijkheid om menselijke goedkeuring te vragen voordat automatische wijzigingen worden doorgevoerd. Een ander veelvoorkomend probleem is dat de verbinding tussen de waarschuwingsregel en de actiegroep is verbroken, bijvoorbeeld omdat de actiegroep is verwijderd of verplaatst. In dit geval kan het remediatie-script automatisch een nieuwe verbinding tot stand brengen met een bestaande actiegroep, of indien nodig een nieuwe actiegroep aanmaken op basis van gedefinieerde templates. Dit zorgt ervoor dat waarschuwingen weer correct kunnen worden afgehandeld zonder dat handmatige interventie nodig is. In sommige gevallen kan het voorkomen dat de waarschuwingsregel volledig is verwijderd uit het Azure-abonnement. Dit kan gebeuren door accidentele verwijdering, door kwaadwillende actoren, of door geautomatiseerde cleanup-scripts die te agressief zijn geconfigureerd. Het remediatie-script kan in dergelijke situaties automatisch een nieuwe waarschuwingsregel aanmaken met de juiste configuratie, op voorwaarde dat de benodigde parameters beschikbaar zijn. Dit kan bijvoorbeeld vanuit een versiebeheersysteem zoals Git, waar de gewenste configuratie is opgeslagen. Voor Nederlandse overheidsorganisaties is het belangrijk dat alle remediatie-acties worden vastgelegd in een auditlogboek. Dit betekent dat het remediatie-script moet loggen wie de actie heeft geïnitialiseerd, wanneer deze is uitgevoerd, wat de oorspronkelijke staat was, welke wijzigingen zijn doorgevoerd, en of de remediatie succesvol was. Deze logs moeten worden opgeslagen in een beveiligde omgeving en moeten beschikbaar blijven voor compliance-audits en forensisch onderzoek. Na het uitvoeren van remediatie-acties is het belangrijk om te verifiëren dat de waarschuwingen weer correct functioneren. Het remediatie-script kan daarom automatisch een testwaarschuwing activeren om te bevestigen dat de configuratie werkt zoals verwacht. Dit gebeurt door het simuleren van een beleidstoewijzing-verwijderingsgebeurtenis, uiteraard in een gecontroleerde omgeving, om te verifiëren dat de waarschuwing wordt geactiveerd en dat alle geconfigureerde acties worden uitgevoerd. Het wordt aanbevolen om remediatie-processen te automatiseren waar mogelijk, maar altijd met voldoende safeguards om te voorkomen dat geautomatiseerde scripts per ongeluk configuraties beschadigen of beveiligingscontroles uitschakelen. Menselijke toezicht blijft belangrijk, vooral voor kritieke beveiligingscontroles zoals deze waarschuwingen voor beleidstoewijzing-verwijderingen. Regelmatige reviews van de remediatie-processen en hun resultaten helpen om de effectiviteit te waarborgen en te verbeteren waar nodig.
Compliance & Frameworks
- CIS M365: Control 5.2.5 (L1) - Waarschuwing voor beleidsverwijdering
- BIO: 12.04 - Monitoring
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Alert Policy Assignment Delete
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 5.6
Controleert alert voor policy assignment delete events.
.NOTES
Filename: alert-policy-assignment-delete.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 5.6
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Monitor
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Alert Policy Assignment Delete"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$alerts = Get-AzActivityLogAlert -ErrorAction SilentlyContinue
$result = @{ TotalAlerts = $alerts.Count; PolicyDeleteAlerts = 0 }
foreach ($alert in $alerts) {
$policyCondition = $alert.Condition.AllOf | Where-Object {
$_.Field -eq 'resourceType' -and
$_.Equals -like '*Microsoft.Authorization/policyAssignments*'
}
$deleteCondition = $alert.Condition.AllOf | Where-Object {
$_.Field -eq 'operationName' -and
$_.Equals -like '*delete*'
}
if ($policyCondition -and $deleteCondition) { $result.PolicyDeleteAlerts++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "Policy Delete Alerts: $($r.PolicyDeleteAlerts)" -ForegroundColor $(if ($r.PolicyDeleteAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.PolicyDeleteAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alert voor policy assignment verwijderingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nPolicy Delete Alerts: $($r.PolicyDeleteAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Activity Log Alerts: $($r.TotalAlerts)" -ForegroundColor White
Write-Host "Policy Delete Alerts: $($r.PolicyDeleteAlerts)" -ForegroundColor $(if ($r.PolicyDeleteAlerts -gt 0) { 'Green' } else { 'Yellow' })
if ($r.PolicyDeleteAlerts -eq 0) {
Write-Host "`n⚠️ Configureer alert voor policy assignment verwijderingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nPolicy Delete Alerts: $($r.PolicyDeleteAlerts) configured"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Het risico van niet-gedetecteerde beleidsverwijderingen is zeer hoog. Wanneer een aanvaller of onbevoegde gebruiker Azure Policy-toewijzingen verwijdert, worden beveiligingscontroles stilzwijgend uitgeschakeld zonder dat dit wordt opgemerkt. Dit betekent dat compliance-handhaving verdwijnt en dat beveiligingsposturen worden verzwakt zonder dat de organisatie hiervan op de hoogte is. Deze controle is verplicht volgens CIS 5.2.5 en BIO 12.04, en niet-implementatie leidt tot compliance-overtredingen en verhoogde beveiligingsrisico's.
Management Samenvatting
Waarschuwing Beleidstoewijzing Verwijdering: Deze controle bewaakt het verwijderen van Azure Policy-toewijzingen en detecteert wanneer beveiligingscontroles worden verwijderd. De waarschuwing wordt geconfigureerd als een Activity Log Alert binnen Azure Monitor die specifiek filtert op de gebeurtenis Microsoft.Authorization/policyAssignments/delete. Deze functionaliteit is beschikbaar zonder extra kosten binnen Azure Monitor. De implementatie is verplicht volgens CIS Azure Foundations Benchmark controle 5.2.5 en Baseline Informatiebeveiliging Overheid controle 12.04. De implementatietijd bedraagt ongeveer 30 minuten per abonnement. Deze waarschuwing voorkomt dat beleidsverwijderingen onopgemerkt blijven en stelt organisaties in staat om proactief te reageren op beveiligingsincidenten.
- Implementatietijd: 0.5 uur
- FTE required: 0.01 FTE