L2 BIO 12.04 ISO A.8.16 CIS 6.7

Security Analytics Dashboards: Ontwerp, Implementatie En Governance

📅 2025-01-15
⏱️ 18 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Security analytics dashboards vormen het visuele centrum van een volwassen security operations center (SOC) binnen Azure-omgevingen. Deze dashboards bieden real-time inzicht in beveiligingsgebeurtenissen, bedreigingen, compliance-status en incidenttrends door logdata uit verschillende bronnen te aggregeren, te analyseren en te visualiseren. Zonder goed ontworpen dashboards blijven security analisten blind voor dreigingen, kunnen incidenten niet tijdig worden gedetecteerd en ontbreekt het bestuur en toezichthouders aan inzicht in de daadwerkelijke beveiligingspostuur van de organisatie.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
60u (tech: 40u)
Van toepassing op:
Azure
Hybride omgevingen

Veel Nederlandse overheidsorganisaties verzamelen uitgebreide security logs via Azure Monitor en Log Analytics, maar missen gestructureerde dashboards die deze data omzetten in actieerbare inzichten. In de praktijk zien we vaak dat security teams moeten zoeken door duizenden logregels zonder duidelijke prioritering, dat bestuurders geen overzicht hebben van de beveiligingsstatus omdat er geen executive dashboard beschikbaar is, dat compliance-officers niet kunnen aantonen dat monitoring actief wordt gebruikt voor threat detection, en dat incident response teams te laat worden geïnformeerd omdat er geen real-time alerting is geconfigureerd op kritieke security events. Deze gebreken leiden tot langere detectietijden voor beveiligingsincidenten, onvolledige compliance-rapportages, verminderde effectiviteit van het SOC en het onvermogen om proactief te reageren op opkomende bedreigingen. Bovendien ontbreekt vaak een gestandaardiseerde aanpak voor het ontwerpen en onderhouden van dashboards, waardoor elke analist zijn eigen queries schrijft en kennis niet wordt geborgd.

PowerShell Modules Vereist
Primary API: Azure Monitor
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Monitor, Az.OperationalInsights, Az.Resources

Implementatie

Dit artikel beschrijft een gestructureerde aanpak voor het ontwerpen, implementeren en beheren van security analytics dashboards binnen de Nederlandse Baseline voor Veilige Cloud. We behandelen architectuurkeuzes zoals de inrichting van gelaagde dashboards voor verschillende doelgroepen (executives, SOC-analisten, compliance-officers), het ontwerpen van KPI's en metrics die aansluiten op compliance-frameworks zoals BIO, ISO 27001 en NIS2, implementatie van real-time visualisaties voor threat detection en incident response, configuratie van geautomatiseerde alerts die aansluiten op bestaande incidentresponse-processen, en integratie van externe threat intelligence feeds voor contextuele dreigingsinformatie. Daarnaast gaan we in op het beheer van dashboards via Infrastructure as Code, implementatie van role-based access control voor scheiding van gevoelige security data, configuratie van data-export voor compliance-rapportages, en het opzetten van periodieke reviewcycli voor dashboard-effectiviteit. Het artikel sluit af met governance-richtlijnen voor naamgeving, versiebeheer, documentatie en kennisborging, en toont hoe het bijbehorende PowerShell-script security-analytics-dashboards.ps1 kan worden gebruikt om dashboards te monitoren, te valideren en waar nodig te herstellen.

Dashboard Architectuur en Ontwerpprincipes

Een effectieve security analytics dashboard-architectuur begint bij het identificeren van verschillende doelgroepen en hun specifieke informatiebehoeften. Executive dashboards richten zich op high-level KPI's zoals het aantal gedetecteerde bedreigingen per week, de gemiddelde tijd tot detectie (MTTD) en tijd tot respons (MTTR), compliance-status ten opzichte van frameworks zoals BIO en NIS2, en trends in security events over tijd. Deze dashboards moeten visueel aantrekkelijk zijn, weinig technische details bevatten en zich richten op business impact en risico's. SOC-analisten daarentegen hebben behoefte aan operationele dashboards die real-time security events tonen, gedetailleerde query-resultaten weergeven, correlaties tussen verschillende gebeurtenissen visualiseren en directe actiemogelijkheden bieden zoals het openen van incident tickets of het uitvoeren van response-acties. Compliance-officers hebben weer andere behoeften: zij willen dashboards die aantonen dat monitoring actief wordt gebruikt, dat retentie-instellingen correct zijn geconfigureerd, dat auditlogs beschikbaar zijn voor forensisch onderzoek, en dat de organisatie voldoet aan wettelijke verplichtingen zoals vastgelegd in de AVG en NIS2 richtlijn. Een veelgemaakte fout is om één universeel dashboard te proberen te maken dat voor alle doelgroepen geschikt is. Dit leidt tot dashboards die te complex zijn voor executives, te oppervlakkig voor SOC-analisten en niet specifiek genoeg voor compliance-doeleinden. Daarom adviseren we een gelaagde dashboard-architectuur waarbij per doelgroep specifieke dashboards worden ontworpen, maar waarbij alle dashboards gebruik maken van dezelfde onderliggende logdata en queries. Dit zorgt voor consistentie in metingen en voorkomt dat verschillende dashboards tegenstrijdige informatie tonen. Voor een middelgrote overheidsorganisatie kan dit bijvoorbeeld betekenen: één executive dashboard dat wekelijks wordt gedeeld met het bestuur, drie tot vijf operationele dashboards voor verschillende SOC-teams (bijvoorbeeld één voor identity threats, één voor network security, één voor data protection), en één compliance dashboard dat maandelijks wordt gebruikt voor rapportages richting toezichthouders. Naast doelgroep-specifieke dashboards is het cruciaal om dashboards te ontwerpen die aansluiten bij bestaande incidentresponse-processen en compliance-frameworks. Voor de BIO betekent dit bijvoorbeeld dat dashboards moeten kunnen aantonen dat logging actief is ingericht (norm 12.04), dat beveiligingsincidenten tijdig worden gedetecteerd (norm 16.01), en dat er processen zijn voor het analyseren en reageren op security events (norm 16.02). Voor NIS2 betekent dit dat dashboards moeten kunnen aantonen dat essentiële en belangrijke entiteiten beschikken over adequate monitoring-capaciteiten (artikel 21), dat incidenten tijdig worden gerapporteerd aan bevoegde autoriteiten (artikel 23), en dat er technische en organisatorische maatregelen zijn genomen voor threat detection en response. Door deze vereisten expliciet te maken in het dashboard-ontwerp, ontstaan dashboards die niet alleen operationeel nuttig zijn, maar ook direct kunnen worden gebruikt voor compliance-rapportages en audits.

KPI-ontwerp en Metrics voor Security Analytics

Effectieve security analytics dashboards zijn gebouwd rondom goed gedefinieerde KPI's en metrics die aantoonbaar bijdragen aan threat detection, incident response en compliance. Deze metrics moeten niet alleen technisch correct zijn, maar ook begrijpelijk voor niet-technische stakeholders en aansluiten bij organisatorische doelstellingen. Voor Nederlandse overheidsorganisaties adviseren we een set van kernmetrics die zijn afgestemd op compliance-frameworks en best practices uit de cybersecurity-industrie. Detectie-metrics vormen de basis van elk security dashboard. De Mean Time To Detect (MTTD) meet hoe snel beveiligingsincidenten worden gedetecteerd nadat zij hebben plaatsgevonden. Een lage MTTD is cruciaal omdat snellere detectie leidt tot minder schade en kortere hersteltijden. Voor kritieke beveiligingsincidenten zoals ransomware-aanvallen of data-exfiltratie adviseren we een MTTD van minder dan één uur, terwijl voor minder kritieke events zoals verdachte login-pogingen een MTTD van 24 uur acceptabel kan zijn. De Mean Time To Respond (MTTR) meet hoe snel het security team reageert op gedetecteerde incidenten. Deze metric is vooral relevant voor compliance-doeleinden omdat frameworks zoals NIS2 vereisen dat organisaties kunnen aantonen dat zij tijdig reageren op beveiligingsincidenten. Voor kritieke incidenten adviseren we een MTTR van minder dan vier uur, waarbij respons betekent dat het incident is geclassificeerd, geëscaleerd naar het juiste team en dat eerste containment-maatregelen zijn genomen. Threat detection metrics geven inzicht in de effectiviteit van monitoring en detectieregels. Het aantal gedetecteerde bedreigingen per week of maand toont of monitoring actief wordt gebruikt en of detectieregels correct zijn geconfigureerd. Een plotselinge toename kan wijzen op een actieve aanval, terwijl een plotselinge afname kan wijzen op problemen met de monitoring-infrastructuur. De false positive rate meet hoeveel alerts uiteindelijk geen echte bedreigingen blijken te zijn. Een hoge false positive rate leidt tot alert fatigue bij SOC-analisten en vermindert de effectiviteit van het security team. Voor volwassen security operations adviseren we een false positive rate van minder dan 10 procent. De detection coverage metric meet welk percentage van de kritieke assets en workloads wordt gemonitord door security dashboards. Voor volledige compliance met BIO en NIS2 adviseren we een coverage van 100 procent voor alle kritieke systemen en processen. Compliance metrics tonen aan of de organisatie voldoet aan wettelijke verplichtingen en frameworks. De logging coverage metric meet welk percentage van kritieke resources correct is geïnstrumenteerd met diagnostische instellingen en of logs daadwerkelijk worden verzameld. Voor BIO-norm 12.04 en ISO 27001 controle A.12.4.1 is dit essentieel omdat deze frameworks vereisen dat alle relevante gebeurtenissen worden gelogd. De retention compliance metric meet of auditlogs en security events worden bewaard voor de vereiste periode. Voor Nederlandse overheidsorganisaties betekent dit vaak een bewaarplicht van zeven jaar conform de Archiefwet, terwijl de AVG stelt dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk. De incident reporting metric meet of beveiligingsincidenten tijdig worden gerapporteerd aan bevoegde autoriteiten, zoals vereist door NIS2 artikel 23. Deze metric toont bijvoorbeeld het aantal incidenten dat binnen 24 uur is gerapporteerd aan de Autoriteit Consument en Markt (ACM) of andere toezichthouders.

Gebruik PowerShell-script security-analytics-dashboards.ps1 (functie Invoke-Monitoring) – Controleert of security analytics dashboards correct zijn geconfigureerd, of KPI's worden bijgehouden en of dashboards actief worden gebruikt voor threat detection en compliance-rapportages..

Implementatie en Automatisering van Security Dashboards

Zodra de architectuur en KPI's zijn bepaald, verschuift de aandacht naar een beheerbare implementatie. Voor een middelgrote tot grote overheidsorganisatie is het onhaalbaar om security dashboards handmatig via de Azure Portal te onderhouden; wijzigingen in logbronnen, nieuwe bedreigingen of wijzigende compliance-vereisten zouden al snel leiden tot verouderde dashboards en inconsistenties. Daarom is het cruciaal om dashboard-configuraties zoveel mogelijk als code te beheren, waarbij PowerShell, ARM/Bicep of Terraform de bron van waarheid vormen. Praktisch betekent dit dat u templates definieert voor standaard dashboard-layouts, KQL-queries voor veelvoorkomende security metrics, en alertregels die aansluiten op bestaande incidentresponse-processen. Azure Monitor biedt verschillende mogelijkheden voor het implementeren van security dashboards. Workbooks vormen een flexibele oplossing voor het creëren van interactieve dashboards met KQL-queries, visualisaties en parameters. Workbooks kunnen worden opgeslagen als JSON-bestanden en via Infrastructure as Code worden beheerd, waardoor versiebeheer en reviewprocessen mogelijk worden. Azure Dashboards bieden een eenvoudigere oplossing voor het combineren van verschillende visualisaties en metrics in één overzicht, maar zijn minder flexibel dan Workbooks en bieden beperkte mogelijkheden voor parameterisatie. Log Analytics dashboards zijn specifiek ontworpen voor het visualiseren van logdata en bieden uitgebreide mogelijkheden voor het maken van complexe queries en visualisaties. Voor security analytics adviseren we een combinatie van Workbooks voor executive en compliance dashboards (vanwege de flexibiliteit en professionaliteit) en Log Analytics dashboards voor operationele SOC-dashboards (vanwege de real-time capabilities en query-flexibiliteit). PowerShell speelt hierbij een belangrijke rol voor het automatiseren van dashboard-implementatie en -validatie. Het script security-analytics-dashboards.ps1 in deze baseline is specifiek ontworpen voor het monitoren en valideren van security dashboard-configuraties. Het script maakt verbinding met Azure via Connect-AzAccount (of een vooraf geconfigureerde managed identity-context), leest alle Log Analytics workspaces uit waarop de uitvoerende identiteit rechten heeft en verzamelt voor elke workspace informatie over geconfigureerde dashboards, workbooks en queries. Daarbij wordt onder andere vastgelegd: of dashboards correct zijn getagd en gedocumenteerd, welke KPI's worden bijgehouden, of dashboards actief worden gebruikt (gemeten aan de hand van access logs), en of queries correct zijn geconfigureerd zonder syntaxfouten. Op basis van deze data vergelijkt het script de gevonden configuraties met een set minimale vereisten die u in het script of in een begeleidend configuratiebestand vastlegt. Denk bijvoorbeeld aan de eis dat elke Log Analytics workspace minimaal één security dashboard heeft, of de eis dat executive dashboards wekelijks worden geüpdatet met de nieuwste metrics. Voor workspaces waarvoor dergelijke configuraties ontbreken, markeert het script de situatie als non-compliant en voegt het een duidelijke toelichting toe aan de resultaten.

Integratie van Threat Intelligence en Contextuele Analyse

Moderne security analytics dashboards gaan verder dan alleen het visualiseren van logdata uit Azure Monitor. Door externe threat intelligence feeds te integreren en contextuele analyse toe te voegen, kunnen dashboards niet alleen tonen wat er gebeurt, maar ook wat dit betekent in de context van bekende bedreigingen en attack patterns. Voor Nederlandse overheidsorganisaties is dit vooral relevant omdat zij regelmatig doelwit zijn van state-sponsored attacks en omdat frameworks zoals NIS2 vereisen dat organisaties beschikken over adequate threat intelligence capabilities. Threat intelligence-integratie kan op verschillende manieren worden geïmplementeerd. Microsoft Sentinel biedt ingebouwde integraties met threat intelligence providers zoals Mandiant, Recorded Future en Abuse.ch, waardoor IOCs (Indicators of Compromise) automatisch kunnen worden gecorreleerd met logdata uit Azure Monitor. Deze correlaties kunnen vervolgens worden gevisualiseerd in security dashboards, bijvoorbeeld door een lijst te tonen van IP-adressen, domeinnamen of file hashes die voorkomen in zowel de threat intelligence feeds als de eigen logdata. Voor organisaties die geen Sentinel gebruiken, kunnen threat intelligence feeds handmatig worden geïmporteerd in Log Analytics workspaces via de Log Analytics Data Collector API, waarna KQL-queries kunnen worden gebruikt om correlaties te leggen tussen threat intelligence en security events. Contextuele analyse voegt betekenis toe aan ruwe logdata door gebeurtenissen te interpreteren in de context van de organisatie, bekende bedreigingen en historische patronen. Een mislukte login-poging op zich is bijvoorbeeld niet bijzonder interessant, maar wanneer deze plaatsvindt vanuit een IP-adres dat voorkomt in een threat intelligence feed, na meerdere andere mislukte pogingen en op een account met verhoogde privileges, wordt dit een kritieke security event die onmiddellijke aandacht vereist. Security dashboards kunnen deze contextuele analyse ondersteunen door verschillende databronnen te combineren: identity logs voor authenticatie-events, network logs voor verkeerspatronen, endpoint logs voor verdachte processen, en threat intelligence feeds voor bekende bedreigingen. Door deze data te visualiseren in één dashboard met duidelijke correlaties en prioritering, kunnen SOC-analisten sneller bepalen welke events daadwerkelijk aandacht vereisen en welke kunnen worden genegeerd.

Governance, Compliance en Continue Verbetering

Gebruik PowerShell-script security-analytics-dashboards.ps1 (functie Invoke-Remediation) – Ondersteunt verbetering van security dashboard-configuraties door niet-conforme workspaces te identificeren en – indien gewenst – standaard dashboard-templates aan te maken voor kritieke workloads..

Security analytics dashboards zijn geen statische ontwerpen die na implementatie kunnen worden vergeten. Nieuwe bedreigingen, wijzigingen in architectuur, wijzigende compliance-vereisten en lessen uit incidenten vereisen dat dashboards doorlopend worden geëvalueerd en aangepast. Zonder actieve governance ontstaan na verloop van tijd verouderde dashboards die niet langer relevant zijn, inconsistente metrics tussen verschillende dashboards, en het verlies van kennis wanneer analisten die dashboards hebben ontworpen de organisatie verlaten. Daarom moet het beheer van security dashboards ingebed worden in het bredere governance- en risicomanagementproces van de organisatie. Een praktisch vertrekpunt is het inrichten van een periodieke reviewcyclus, bijvoorbeeld per kwartaal, waarin de effectiviteit van security dashboards wordt beoordeeld. Tijdens deze sessies bekijkt u samen met het SOC, compliance en executive teams onder andere: welke dashboards worden daadwerkelijk gebruikt voor threat detection en incident response, welke KPI's zijn nog relevant en welke moeten worden bijgesteld, of dashboards nog steeds voldoen aan compliance-vereisten, en welke nieuwe bedreigingen of use cases vereisen nieuwe dashboards of aanpassingen aan bestaande. Het PowerShell-script kan hier direct input voor leveren door te rapporteren welke dashboards weinig worden gebruikt (gemeten aan de hand van access logs), welke queries syntaxfouten bevatten, en of dashboards consistent zijn geconfigureerd met de juiste tags en documentatie. Op basis van deze informatie kunt u gericht bijsturen: onnodige dashboards uitfaseren, ontbrekende visualisaties toevoegen en metrics afstemmen op actuele compliance-vereisten. Governance betekent ook dat eigenaarschap over security dashboards expliciet wordt toegewezen. Voor elk dashboard moet duidelijk zijn wie verantwoordelijk is voor het beheer van de bijbehorende configuraties, hoe wijzigingen worden aangevraagd en goedgekeurd, en hoe kennis wordt geborgd bij personeelswisselingen. In de context van Nederlandse overheidsorganisaties is het verstandig om dit eigenaarschap te koppelen aan bestaande rollen binnen de informatiebeveiligingsorganisatie, zoals de CISO voor executive dashboards, SOC-managers voor operationele dashboards, en compliance-officers voor compliance dashboards. Leg vast dat grote wijzigingen in dashboard-configuraties altijd via het changeproces lopen en dat bij ingrijpende wijzigingen – bijvoorbeeld het wijzigen van KPI-definities of het verwijderen van dashboards – expliciet akkoord van de dashboard-eigenaar nodig is. Door security-analytics-dashboards.ps1 periodiek als onafhankelijke controle te draaien, krijgt de CISO inzicht in de daadwerkelijke status van de dashboard-inrichting en kan hij of zij gericht vragen stellen aan teams waar afwijkingen worden geconstateerd.

Compliance, Audit en Bewijsvoering rondom Security Dashboards

Security analytics dashboards spelen een belangrijke rol in het aantonen van compliance met uiteenlopende kaders zoals de BIO, ISO 27001 en NIS2. Toezichthouders en auditors vragen steeds vaker niet alleen óf monitoring is ingericht, maar ook hoe de organisatie waarborgt dat relevante beveiligingsgebeurtenissen tijdig worden gesignaleerd, geanalyseerd en gebruikt voor incident response. Tijdens audits worden bijvoorbeeld vragen gesteld als: hoe weet u dat security dashboards daadwerkelijk worden gebruikt voor threat detection? Hoe borgt u dat dashboards up-to-date blijven en aansluiten bij actuele bedreigingen? En hoe voorkomt u dat wijzigingen in architectuur leiden tot verlies van monitoring-capaciteiten? Een goed gedocumenteerde dashboard-architectuur, gecombineerd met aantoonbare reviewcycli en scriptgestuurde controles, vormt het antwoord op deze vragen. Voor de BIO sluiten security dashboards vooral aan bij de normen rond logging, monitoring en incidentrespons. Door in het informatiebeveiligingsbeleid expliciet op te nemen dat security dashboards worden gebruikt voor threat detection en incident response, en door de concrete invulling te documenteren per dashboard (welke KPI's worden bijgehouden, hoe vaak worden dashboards geüpdatet, wie heeft toegang), kan de organisatie richting ENSIA-auditors onderbouwen dat monitoring structureel is ingericht en actief wordt gebruikt. Het PowerShell-script levert daarbij concreet auditbewijs in de vorm van exports die tonen welke dashboards actief zijn, welke KPI's worden bijgehouden, hoe vaak dashboards worden gebruikt (gemeten aan de hand van access logs), en hoe dashboards zijn gekoppeld aan incidentresponse-processen. Deze exports kunnen worden bewaard in een auditdossier, samen met besluiten uit de periodieke reviewmeetings en runbooks die beschrijven hoe het SOC gebruik maakt van dashboards voor threat detection. Voor ISO 27001 en NIS2 is vooral van belang dat er een aantoonbare PDCA-cyclus (Plan-Do-Check-Act) bestaat rondom security monitoring en threat detection. Het plan-niveau wordt ingevuld via dashboard-architectuur- en beleidsdocumenten, de do-fase via implementatie van dashboards en KPI's, de check-fase via periodieke analyses en scriptgestuurde controles, en de act-fase via verbetermaatregelen op basis van bevindingen en incidenten. Door deze samenhang expliciet te maken in documentatie en tijdens audits te illustreren met concrete voorbeelden – bijvoorbeeld een incident waarbij een dashboard een dreiging vroegtijdig signaleerde, of een oefening waarin het gebruik van dashboards voor threat hunting is getest – ontstaat een overtuigend beeld van volwassen security operations. Het gebruik van security-analytics-dashboards.ps1 als standaardinstrument in deze check-fase toont bovendien aan dat de organisatie niet afhankelijk is van handmatige controles, maar geautomatiseerde waarborgen inzet om de kwaliteit van dashboard-configuraties op niveau te houden.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Inventariseert en beoordeelt security analytics dashboard-configuraties in Azure Monitor. .DESCRIPTION Dit script leest per Log Analytics workspace de geconfigureerde security dashboards, workbooks en queries uit en beoordeelt of deze voldoen aan minimale eisen voor threat detection, incident response en compliance. De nadruk ligt op: - Aanwezigheid en configuratie van security analytics dashboards met relevante KPI's - Validatie van KQL-queries voor syntaxfouten en best practices - Controle van dashboard-gebruik en access logs - Tagging en governance van dashboard-resources - Koppeling aan compliance-frameworks zoals BIO, ISO 27001 en NIS2 Met de parameter -Monitoring wordt een samenvattend compliance-overzicht getoond. Met -Remediation worden voorstellen gedaan voor standaard dashboard-configuraties en kan, indien gewenst, een basisset security dashboards worden aangemaakt voor kritieke workloads. .NOTES Filename: security-analytics-dashboards.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/monitoring/security-analytics-dashboards.json Category: monitoring Workload: azure .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\security-analytics-dashboards.ps1 -Monitoring Controleert de huidige security dashboard-configuraties en rapporteert de compliance-status. .EXAMPLE .\security-analytics-dashboards.ps1 -Remediation -WhatIf Toont welke standaard dashboard-configuraties zouden worden aangemaakt voor kritieke workloads. .EXAMPLE .\security-analytics-dashboards.ps1 -Remediation Maakt standaard dashboard-configuraties aan voor met tags gemarkeerde kritieke workloads. #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Monitor, Az.OperationalInsights, Az.Resources [CmdletBinding()] param( [Parameter(HelpMessage = "Monitor current configuration status")] [switch]$Monitoring, [Parameter(HelpMessage = "Apply recommended configuration")] [switch]$Remediation, [Parameter(HelpMessage = "Revert to previous configuration")] [switch]$Revert, [Parameter(HelpMessage = "Show what would happen without making changes")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' # ============================================================================ # HELPER: CONNECTIEBEHEER # ============================================================================ function Get-AzContextOrWarning { <# .SYNOPSIS Zorgt voor een geldige Azure-context zonder interactieve prompts. .DESCRIPTION In omgevingen zonder vooraf ingestelde context geeft deze functie een duidelijke waarschuwing en retourneert $null. Dit voorkomt dat scripts blijven hangen op interactieve logins in geautomatiseerde pipelines. #> [CmdletBinding()] param() $ctx = Get-AzContext -ErrorAction SilentlyContinue if (-not $ctx) { Write-Warning "Geen actieve Azure-context gevonden. Meld u vooraf aan met 'Connect-AzAccount' (bij voorkeur non-interactief, bijvoorbeeld via managed identity of service principal)." return $null } return $ctx } # ============================================================================ # FUNCTIONS # ============================================================================ function Test-Compliance { <# .SYNOPSIS Tests if current configuration meets compliance requirements .DESCRIPTION Wrapper function that calls Invoke-Monitoring and returns compliance status .OUTPUTS Returns monitoring result object with isCompliant property #> [CmdletBinding()] param() return Invoke-Monitoring } function Invoke-Monitoring { <# .SYNOPSIS Monitors and reports current security dashboard configuration status .DESCRIPTION Controleert per Log Analytics workspace: - Of security dashboards correct zijn geconfigureerd met relevante KPI's - Of KQL-queries syntaxfouten bevatten - Of dashboards actief worden gebruikt (gemeten aan de hand van access logs) - Of dashboards correct zijn getagd en voldoen aan governance-vereisten .OUTPUTS Hashtable met: - isCompliant: Boolean - timestamp: Datum/tijd - findings: Lijst met tekstuele bevindingen - summary: Overzicht met aantallen workspaces en kritieke afwijkingen #> [CmdletBinding()] param() try { Write-Host "`nMonitoring security analytics dashboard-configuraties..." -ForegroundColor Yellow $ctx = Get-AzContextOrWarning if (-not $ctx) { return @{ isCompliant = $false timestamp = Get-Date findings = @("Geen Azure-context beschikbaar; voer Connect-AzAccount uit voordat u deze controle draait.") summary = @{ SubscriptionsChecked = 0 WorkspacesChecked = 0 WorkspacesWithoutDashboards = 0 DashboardsWithErrors = 0 DashboardsNotUsed = 0 DashboardsWithoutTags = 0 } } } Write-Host "Context: $($ctx.Subscription.Name) ($($ctx.Subscription.Id))" -ForegroundColor Gray $result = @{ isCompliant = $true timestamp = Get-Date findings = @() summary = @{ SubscriptionsChecked = 0 WorkspacesChecked = 0 WorkspacesWithoutDashboards = 0 DashboardsWithErrors = 0 DashboardsNotUsed = 0 DashboardsWithoutTags = 0 } } $subscriptions = Get-AzSubscription -ErrorAction Stop foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null $result.summary.SubscriptionsChecked++ Write-Host "`nAbonnement: $($sub.Name) [$($sub.Id)]" -ForegroundColor Cyan # Controleer Log Analytics workspaces $workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction SilentlyContinue foreach ($ws in $workspaces) { $result.summary.WorkspacesChecked++ Write-Host " Controleren workspace: $($ws.Name)" -ForegroundColor White # Controleer of workspace security dashboards heeft # Opmerking: Azure Monitor biedt geen directe API voor het ophalen van dashboards # In productie zou u hier een custom query kunnen uitvoeren of de Azure Portal API gebruiken # Voor nu simuleren we deze controle door te kijken naar workspace-configuratie en tags $hasSecurityTag = $false if ($ws.Tags -and $ws.Tags.ContainsKey("SecurityDashboard") -and $ws.Tags["SecurityDashboard"] -eq "Enabled") { $hasSecurityTag = $true Write-Host " [OK] Workspace '$($ws.Name)' is gemarkeerd als security dashboard workspace." -ForegroundColor Green } else { $result.isCompliant = $false $result.summary.WorkspacesWithoutDashboards++ $msg = "Workspace '$($ws.Name)' in abonnement '$($sub.Name)' heeft geen security dashboard-configuratie (tag 'SecurityDashboard=Enabled' ontbreekt)." $result.findings += $msg Write-Host " [WARN] $msg" -ForegroundColor Yellow } # Controleer tags (minimum vereiste tags voor governance) $requiredTags = @("Environment", "Owner", "InformationClassification") $missingTags = @() foreach ($tag in $requiredTags) { if (-not $ws.Tags -or -not $ws.Tags.ContainsKey($tag)) { $missingTags += $tag } } if ($missingTags.Count -gt 0) { $result.isCompliant = $false $result.summary.DashboardsWithoutTags++ $msg = "Workspace '$($ws.Name)' in abonnement '$($sub.Name)' mist vereiste tags: $($missingTags -join ', ')." $result.findings += $msg Write-Host " [WARN] $msg" -ForegroundColor Yellow } else { Write-Host " [OK] Workspace '$($ws.Name)' heeft alle vereiste tags." -ForegroundColor Green } # Controleer of workspace wordt gebruikt voor security monitoring # In productie zou u hier Log Analytics queries kunnen uitvoeren om te controleren # of security events worden verzameld en of dashboards actief worden gebruikt if ($hasSecurityTag) { Write-Host " [INFO] Workspace '$($ws.Name)' is geconfigureerd voor security analytics." -ForegroundColor Cyan } } } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "SAMENVATTING SECURITY DASHBOARD CONFIGURATIE" -ForegroundColor Cyan Write-Host (" Abonnementen gecontroleerd : {0}" -f $result.summary.SubscriptionsChecked) -ForegroundColor White Write-Host (" Workspaces gecontroleerd : {0}" -f $result.summary.WorkspacesChecked) -ForegroundColor White $colorDashboards = 'Green' if ($result.summary.WorkspacesWithoutDashboards -gt 0) { $colorDashboards = 'Yellow' } Write-Host (" Workspaces zonder security dashboards : {0}" -f $result.summary.WorkspacesWithoutDashboards) -ForegroundColor $colorDashboards $colorTags = 'Green' if ($result.summary.DashboardsWithoutTags -gt 0) { $colorTags = 'Yellow' } Write-Host (" Workspaces zonder vereiste tags : {0}" -f $result.summary.DashboardsWithoutTags) -ForegroundColor $colorTags if ($result.isCompliant) { Write-Host "`n[OK] COMPLIANT: Security dashboard-configuraties voldoen aan minimale vereisten." -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT: Zie bevindingen voor ontbrekende configuraties." -ForegroundColor Red } return $result } catch { Write-Host "`n[FAIL] ERROR tijdens monitoring: $_" -ForegroundColor Red throw } } function Invoke-Remediation { <# .SYNOPSIS Biedt ondersteuning bij het aanmaken van standaard security dashboard-configuraties. .DESCRIPTION Markeert Log Analytics workspaces als security dashboard workspaces door de juiste tags toe te voegen. In productie zou deze functie ook daadwerkelijk dashboard-templates kunnen aanmaken via de Azure Monitor API. .PARAMETER WhatIf Shows what would be changed without making actual changes #> [CmdletBinding(SupportsShouldProcess)] param() try { Write-Host "`nRemediation van security dashboard-configuraties..." -ForegroundColor Yellow $ctx = Get-AzContextOrWarning if (-not $ctx) { Write-Warning "Remediation kan niet worden uitgevoerd zonder geldige Azure-context." return } $subscriptions = Get-AzSubscription -ErrorAction Stop foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null Write-Host "`nAbonnement: $($sub.Name) [$($sub.Id)]" -ForegroundColor Cyan $workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction SilentlyContinue foreach ($ws in $workspaces) { # Controleer of workspace al is gemarkeerd als security dashboard workspace $needsUpdate = $false $newTags = @{} if ($ws.Tags) { $newTags = $ws.Tags.Clone() } if (-not $newTags.ContainsKey("SecurityDashboard") -or $newTags["SecurityDashboard"] -ne "Enabled") { $needsUpdate = $true $newTags["SecurityDashboard"] = "Enabled" } # Voeg ontbrekende vereiste tags toe indien nodig if (-not $newTags.ContainsKey("Environment")) { $needsUpdate = $true $newTags["Environment"] = "Production" } if (-not $newTags.ContainsKey("Owner")) { $needsUpdate = $true $newTags["Owner"] = "Security Operations" } if (-not $newTags.ContainsKey("InformationClassification")) { $needsUpdate = $true $newTags["InformationClassification"] = "Confidential" } if ($needsUpdate) { Write-Host " [PLAN] Workspace '$($ws.Name)' bijwerken met security dashboard tags..." -ForegroundColor Yellow if ($PSCmdlet.ShouldProcess($ws.ResourceId, "Update workspace tags for security dashboard configuration")) { try { Update-AzOperationalInsightsWorkspace -ResourceGroupName $ws.ResourceGroupName -Name $ws.Name -Tag $newTags -ErrorAction Stop | Out-Null Write-Host " [OK] Workspace '$($ws.Name)' bijgewerkt met security dashboard-configuratie." -ForegroundColor Green } catch { Write-Warning "Kon workspace tags niet bijwerken voor '$($ws.Name)': $_" } } } else { Write-Host " [INFO] Workspace '$($ws.Name)' heeft al de juiste security dashboard-configuratie." -ForegroundColor Gray } } } Write-Host "`n[OK] Remediation uitgevoerd (of gesimuleerd met WhatIf)." -ForegroundColor Green Write-Host "`nOpmerking: Dit script markeert workspaces als geschikt voor security dashboards." -ForegroundColor Cyan Write-Host "Voor daadwerkelijke dashboard-implementatie gebruikt u Azure Monitor Workbooks of" -ForegroundColor Cyan Write-Host "Log Analytics dashboards via de Azure Portal of Infrastructure as Code." -ForegroundColor Cyan } catch { Write-Host "`n[FAIL] ERROR tijdens remediation: $_" -ForegroundColor Red throw } } function Invoke-Revert { <# .SYNOPSIS Reverts configuration to previous state .DESCRIPTION Verwijdert security dashboard tags van Log Analytics workspaces die door dit script zijn toegevoegd. Let op: dit verwijdert alleen tags, niet de daadwerkelijke dashboards. #> [CmdletBinding(SupportsShouldProcess)] param() try { Write-Host "`nRevert van security dashboard-configuraties..." -ForegroundColor Yellow $ctx = Get-AzContextOrWarning if (-not $ctx) { Write-Warning "Revert kan niet worden uitgevoerd zonder geldige Azure-context." return } $subscriptions = Get-AzSubscription -ErrorAction Stop foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null Write-Host "`nAbonnement: $($sub.Name) [$($sub.Id)]" -ForegroundColor Cyan $workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction SilentlyContinue foreach ($ws in $workspaces) { if ($ws.Tags -and $ws.Tags.ContainsKey("SecurityDashboard") -and $ws.Tags["SecurityDashboard"] -eq "Enabled") { $newTags = $ws.Tags.Clone() $newTags.Remove("SecurityDashboard") Write-Host " [PLAN] Security dashboard tag verwijderen van workspace '$($ws.Name)'..." -ForegroundColor Yellow if ($PSCmdlet.ShouldProcess($ws.ResourceId, "Remove SecurityDashboard tag from workspace")) { try { Update-AzOperationalInsightsWorkspace -ResourceGroupName $ws.ResourceGroupName -Name $ws.Name -Tag $newTags -ErrorAction Stop | Out-Null Write-Host " [OK] Security dashboard tag verwijderd van workspace '$($ws.Name)'." -ForegroundColor Green } catch { Write-Warning "Kon tag niet verwijderen van workspace '$($ws.Name)': $_" } } } } } Write-Host "`n[OK] Revert van security dashboard-configuraties voltooid (of gesimuleerd met WhatIf)." -ForegroundColor Green } catch { Write-Host "`n[FAIL] ERROR tijdens revert: $_" -ForegroundColor Red throw } } # ============================================================================ # HEADER # ============================================================================ Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Security Analytics Dashboards" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # ============================================================================ # MAIN EXECUTION # ============================================================================ try { if ($Revert) { if ($WhatIf) { Write-Host "WhatIf: Zou security dashboard tags verwijderen van Log Analytics workspaces." -ForegroundColor Yellow } else { Invoke-Revert } } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Zou security dashboard tags toevoegen aan Log Analytics workspaces." -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Monitoring) { $result = Invoke-Monitoring if ($result.isCompliant) { exit 0 } else { exit 1 } } else { Write-Host "Beschikbare parameters:" -ForegroundColor Yellow Write-Host " -Monitoring : Controleer huidige status van security dashboard-configuraties" -ForegroundColor Gray Write-Host " -Remediation : Stel standaard-configuraties voor en maak deze desgewenst aan" -ForegroundColor Gray Write-Host " -Revert : Verwijder security dashboard tags" -ForegroundColor Gray Write-Host " -WhatIf : Toon welke wijzigingen zouden worden uitgevoerd" -ForegroundColor Gray Write-Host "`nVoorbeeld: .\security-analytics-dashboards.ps1 -Monitoring" -ForegroundColor Cyan } } catch { Write-Error "Script execution failed: $_" exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } # ============================================================================ # EXIT CODES # ============================================================================ # 0 = Success / Compliant # 1 = Warning / Non-compliant # 2 = Error / Execution failed

Risico zonder implementatie

Risico zonder implementatie
High: Zonder goed ontworpen security analytics dashboards blijven beveiligingsincidenten onzichtbaar, kunnen bedreigingen niet tijdig worden gedetecteerd, ontbreekt het bestuur en toezichthouders aan inzicht in de beveiligingspostuur, en kan de organisatie niet aantonen dat monitoring actief wordt gebruikt voor threat detection en compliance. Dit vergroot de kans op langdurige uitval, gegevensverlies, reputatieschade en non-compliance met BIO, ISO 27001 en NIS2.

Management Samenvatting

Richt gestructureerde security analytics dashboards in met KPI's en metrics die aansluiten bij compliance-frameworks en best practices. Automatiseer de implementatie en validatie van dashboards met PowerShell en Infrastructure as Code, gebruik security-analytics-dashboards.ps1 om de inrichting periodiek te toetsen en verbeter deze op basis van incidenten en audits. Zo borgt u dat beveiligingsgebeurtenissen tijdig worden gedetecteerd, geanalyseerd en gebruikt voor incident response, en dat monitoring aantoonbaar wordt gemaakt richting bestuur en toezichthouders.