L1 BIO 12.04 ISO A.8.16 CIS 6.7

Security Monitoring Ingeschakeld: Detectie, Threat Hunting En Incidentrespons

📅 2025-01-15
⏱️ 18 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Security monitoring vormt de ruggengraat van elke moderne cloudbeveiligingsstrategie. Zonder actieve monitoring en detectie blijven beveiligingsincidenten, misbruik van bevoegdheden en geavanceerde dreigingen onzichtbaar totdat schade is aangericht. Een goed geconfigureerd security monitoring-systeem biedt organisaties real-time zichtbaarheid op beveiligingsgebeurtenissen, automatische detectie van afwijkend gedrag en geïntegreerde workflows voor incidentrespons. In de context van Nederlandse overheidsorganisaties is security monitoring niet alleen een technische noodzaak, maar ook een compliance-vereiste voor frameworks zoals de BIO, ISO 27001 en NIS2, die expliciet eisen dat organisaties beschikken over mechanismen om beveiligingsincidenten tijdig te detecteren en te reageren.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
48u (tech: 32u)
Van toepassing op:
Azure
Hybride omgevingen

Veel Nederlandse overheidsorganisaties hebben Azure Monitor en Log Analytics geïmplementeerd voor algemene monitoring, maar missen specifieke security monitoring-capaciteiten die gericht zijn op het detecteren van beveiligingsdreigingen, misbruik en compliance-schendingen. In de praktijk zien we vaak dat security logs wel worden verzameld, maar niet worden geanalyseerd met behulp van security-specifieke queries en detectieregels, dat er geen geautomatiseerde alerting is voor verdachte activiteiten zoals ongebruikelijke inlogpogingen, privilege escalation of data-exfiltratie, en dat incidentresponse-processen niet zijn geïntegreerd met monitoring-tools waardoor detectie en respons los van elkaar staan. Deze configuratiefouten leiden tot langere detectietijden, gemiste dreigingen, onvoldoende compliance-bewijsvoering en het onvermogen om richting bestuurders en auditors aan te tonen dat security monitoring actief en effectief is. Bovendien ontbreekt vaak een gestructureerde aanpak voor threat hunting, waarbij security analisten proactief zoeken naar indicatoren van compromittering die niet automatisch worden gedetecteerd door standaard alertregels.

PowerShell Modules Vereist
Primary API: Azure Monitor
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Monitor, Az.OperationalInsights, Az.SecurityInsights, Az.Resources

Implementatie

Dit artikel beschrijft een gestructureerde aanpak voor het inrichten van security monitoring binnen de Nederlandse Baseline voor Veilige Cloud. We behandelen architectuurkeuzes zoals de inrichting van een dedicated security workspace voor beveiligingslogs, configuratie van Azure Sentinel of Azure Monitor voor security analytics, implementatie van detectieregels voor veelvoorkomende dreigingen zoals brute force-aanvallen, privilege escalation, data-exfiltratie en lateral movement, en integratie met Microsoft Defender-services voor uitgebreide threat intelligence. Daarnaast gaan we in op het opzetten van threat hunting-workflows waarbij security analisten proactief zoeken naar indicatoren van compromittering, configuratie van geautomatiseerde respons-workflows voor veelvoorkomende incidenten, en het inrichten van security dashboards die real-time inzicht geven in de beveiligingsstatus. Het artikel sluit af met governance-richtlijnen voor het beheer van detectieregels, periodieke evaluatie van de effectiviteit van monitoring, en toont hoe het bijbehorende PowerShell-script security-monitoring-enabled.ps1 kan worden gebruikt om te controleren of security monitoring correct is ingericht en actief is.

Architectuur en Ontwerpprincipes voor Security Monitoring

Een effectieve security monitoring-architectuur begint bij het scheiden van security-specifieke logs van algemene operationele monitoring. Hoewel beide typen logs waardevol zijn, hebben security logs andere retentie-eisen, toegangscontroles en analysevereisten dan performance metrics of application telemetrie. Voor Nederlandse overheidsorganisaties adviseren we daarom om een dedicated Log Analytics workspace in te richten specifiek voor security monitoring, waarin alle beveiligingsgerelateerde logs worden verzameld. Deze workspace kan worden gebruikt voor Azure Sentinel, voor custom security analytics, of voor export naar externe SIEM-systemen. Door security logs te scheiden van operationele logs ontstaat betere mogelijkheden voor toegangscontrole: niet alle beheerders hoeven toegang te hebben tot gevoelige security data, en security analisten kunnen zich focussen op relevante data zonder ruis van operationele logs. De kern van security monitoring bestaat uit drie componenten: dataverzameling, detectie en respons. Dataverzameling omvat het configureren van diagnostische instellingen op alle kritieke Azure-resources om security-relevante logs te verzamelen, zoals Azure AD sign-in logs en audit logs, Key Vault audit logs, Storage Account access logs, en Virtual Machine security events. Daarnaast moeten Microsoft Defender-services zoals Defender for Cloud, Defender for Endpoint en Defender for Identity worden geconfigureerd om hun security alerts en recommendations te exporteren naar de security workspace. Zonder deze dataverzameling blijven belangrijke beveiligingsgebeurtenissen onzichtbaar, waardoor dreigingen niet worden gedetecteerd en incidenten te laat worden opgemerkt. Detectie vormt de tweede pijler en omvat het configureren van detectieregels die automatisch verdachte activiteiten identificeren. Azure Sentinel biedt honderden ingebouwde detectieregels voor veelvoorkomende dreigingen zoals brute force-aanvallen, privilege escalation, data-exfiltratie, lateral movement en misbruik van cloudservices. Daarnaast kunnen organisaties custom detectieregels ontwikkelen op basis van hun specifieke dreigingslandschap en compliance-vereisten. Voor Nederlandse overheidsorganisaties zijn bijvoorbeeld detectieregels relevant die focussen op ongebruikelijke toegang tot persoonsgegevens, wijzigingen in beveiligingsconfiguraties buiten reguliere werkuren, of activiteiten die wijzen op ransomware-aanvallen. Het PowerShell-script security-monitoring-enabled.ps1 sluit hierbij aan door te controleren of detectieregels actief zijn, of ze regelmatig worden geëvalueerd en of ze aansluiten op bestaande incidentresponse-processen. Respons vormt de derde pijler en omvat geautomatiseerde workflows die worden geactiveerd wanneer een dreiging wordt gedetecteerd. Azure Sentinel biedt playbooks die kunnen worden geconfigureerd om automatisch te reageren op specifieke incidenten, bijvoorbeeld door accounts te blokkeren, resources te isoleren, of security teams te waarschuwen via Teams of e-mail. Voor veelvoorkomende incidenten zoals brute force-aanvallen kan een playbook automatisch het betreffende IP-adres blokkeren via Azure Firewall of Network Security Groups, waardoor verdere aanvallen worden voorkomen zonder handmatige interventie. Het is belangrijk om te realiseren dat automatisering niet alle incidenten kan oplossen: complexe dreigingen vereisen menselijke expertise en besluitvorming. Daarom moet automatisering worden gezien als een hulpmiddel om de responssnelheid te verhogen en de werklast van security teams te verminderen, niet als vervanging van menselijke analisten.

Detectieregels en Threat Hunting

Detectieregels vormen het hart van security monitoring: zij analyseren continu binnenkomende logdata en signaleren verdachte activiteiten die mogelijk wijzen op beveiligingsincidenten. Azure Sentinel biedt een uitgebreide catalogus van ingebouwde detectieregels die gebaseerd zijn op Microsoft's threat intelligence en best practices uit de industrie. Deze regels zijn georganiseerd in categorieën zoals Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Exfiltration en Impact. Voor Nederlandse overheidsorganisaties zijn vooral regels relevant die focussen op Initial Access (zoals brute force-aanvallen en phishing), Privilege Escalation (zoals ongebruikelijke toewijzing van beheerdersrollen), Credential Access (zoals misbruik van gestolen credentials) en Exfiltration (zoals ongebruikelijke data-export activiteiten). Naast ingebouwde regels kunnen organisaties custom detectieregels ontwikkelen op basis van hun specifieke dreigingslandschap, compliance-vereisten en lessen uit eerdere incidenten. Custom regels worden geschreven in KQL (Kusto Query Language) en kunnen complexe logica bevatten die meerdere databronnen combineert, tijdsvensters analyseert en anomalieën detecteert. Een voorbeeld van een custom regel voor Nederlandse overheidsorganisaties is een detectie die signaleert wanneer een gebruiker buiten reguliere werkuren toegang krijgt tot databases met persoonsgegevens, of wanneer een account dat normaal gesproken alleen binnen Nederland actief is, plotseling inlogt vanuit een buitenlandse locatie. Het ontwikkelen van custom regels vereist expertise in KQL en een goed begrip van de dreigingslandschap, maar biedt de mogelijkheid om zeer specifieke dreigingen te detecteren die niet worden gedekt door generieke regels. Threat hunting gaat een stap verder dan automatische detectie: het is een proactieve activiteit waarbij security analisten actief zoeken naar indicatoren van compromittering die mogelijk niet worden gedetecteerd door bestaande regels. Threat hunting begint bij hypotheses over mogelijke aanvallen: bijvoorbeeld 'een aanvaller heeft mogelijk toegang gekregen tot een beheerdersaccount en gebruikt dit om lateral movement uit te voeren' of 'een insider threat probeert mogelijk gevoelige data te exporteren'. Op basis van deze hypotheses worden KQL-queries ontwikkeld die zoeken naar gedragspatronen die passen bij de hypothese, zoals ongebruikelijke netwerkverbindingen, toegang tot resources die normaal gesproken niet worden gebruikt, of activiteiten die wijzen op data-exfiltratie. Threat hunting is een iteratief proces: queries worden verfijnd op basis van bevindingen, nieuwe hypotheses worden ontwikkeld en het proces wordt herhaald. Voor Nederlandse overheidsorganisaties is threat hunting vooral waardevol omdat het helpt om geavanceerde persistent threats (APTs) en insider threats te detecteren die mogelijk niet worden gedekt door standaard detectieregels. APTs zijn vaak zeer subtiel en verspreiden hun activiteiten over langere perioden, waardoor automatische detectie moeilijk is. Door regelmatig threat hunting-sessies te organiseren, kunnen security teams proactief zoeken naar indicatoren van compromittering en dreigingen detecteren voordat ze escaleren tot volledige incidenten. Het PowerShell-script kan hier input voor leveren door te rapporteren welke detectieregels actief zijn, hoe vaak ze worden geactiveerd, en welke queries worden gebruikt voor threat hunting. Op basis van deze informatie kunnen security teams hun detectiestrategie verfijnen en nieuwe dreigingen identificeren.

Gebruik PowerShell-script security-monitoring-enabled.ps1 (functie Invoke-Monitoring) – Voert een tenant-brede inventarisatie en compliancecheck uit op security monitoring-configuraties, inclusief detectieregels, threat hunting-queries en incidentresponse-workflows..

Incidentrespons en Automatisering

Security monitoring is alleen effectief wanneer gedetecteerde dreigingen snel en adequaat worden aangepakt. Incidentrespons omvat het hele proces van detectie tot afhandeling: van het eerste signaal van een verdachte activiteit tot het volledig oplossen van het incident en het implementeren van preventieve maatregelen. Voor Nederlandse overheidsorganisaties is het belangrijk om incidentresponse-processen te integreren met security monitoring-tools, zodat detectie en respons naadloos op elkaar aansluiten. Azure Sentinel biedt hiervoor incident management-capaciteiten die gedetecteerde dreigingen automatisch groeperen in incidents, prioriteren op basis van ernst en impact, en toewijzen aan security analisten voor onderzoek en afhandeling. Geautomatiseerde respons-workflows, ook wel playbooks genoemd, kunnen worden geconfigureerd om automatisch te reageren op specifieke typen incidenten. Voor veelvoorkomende dreigingen zoals brute force-aanvallen kan een playbook automatisch het betreffende IP-adres blokkeren, de gebruiker waarschuwen en een ticket aanmaken in het ticketing-systeem. Voor meer complexe incidenten zoals mogelijke data-exfiltratie kan een playbook automatisch relevante logs verzamelen, een forensische snapshot maken van betrokken resources, en het security team waarschuwen via meerdere kanalen. Automatisering helpt om de tijd tussen detectie en respons te verkorten, wat cruciaal is voor het beperken van de impact van beveiligingsincidenten. Het is belangrijk om te realiseren dat automatisering niet alle incidenten kan oplossen: complexe dreigingen vereisen menselijke expertise en besluitvorming. Daarom moet automatisering worden gezien als een hulpmiddel om de responssnelheid te verhogen en de werklast van security teams te verminderen, niet als vervanging van menselijke analisten. Voor Nederlandse overheidsorganisaties is het verstandig om te beginnen met automatisering van eenvoudige, veelvoorkomende incidenten, en geleidelijk uit te breiden naar complexere scenario's naarmate het team meer ervaring opdoet met security monitoring en incidentrespons. Naast automatisering is het belangrijk om incidentresponse-processen te documenteren en regelmatig te oefenen. Runbooks moeten beschrijven hoe verschillende typen incidenten moeten worden aangepakt, welke stappen moeten worden gevolgd, en wie verantwoordelijk is voor welke acties. Regelmatige oefeningen, zoals tabletop-oefeningen of red team-oefeningen, helpen om te verifiëren dat incidentresponse-processen werken zoals bedoeld en dat security teams weten hoe ze moeten reageren op verschillende typen dreigingen. Het PowerShell-script kan hier input voor leveren door te rapporteren welke playbooks actief zijn, hoe vaak ze worden geactiveerd, en of ze succesvol zijn in het beperken van de impact van incidenten.

Gebruik PowerShell-script security-monitoring-enabled.ps1 (functie Invoke-Remediation) – Ondersteunt verbetering van security monitoring-configuraties door ontbrekende detectieregels te identificeren en – indien gewenst – standaard-configuraties voor kritieke workloads aan te maken..

Governance, Compliance en Continue Verbetering

Security monitoring is geen statisch systeem dat na implementatie kan worden vergeten. Nieuwe dreigingen, wijzigingen in architectuur, wijzigende compliance-vereisten en lessen uit incidenten vereisen dat monitoring-configuraties doorlopend worden geëvalueerd en aangepast. Zonder actieve governance ontstaan na verloop van tijd blinde vlekken: nieuwe resources krijgen geen security monitoring, detectieregels worden niet bijgewerkt waardoor nieuwe dreigingen niet worden gedetecteerd, en incidentresponse-processen verouderen waardoor responssnelheid afneemt. Daarom moet security monitoring ingebed worden in het bredere governance- en risicomanagementproces van de organisatie. Een praktisch vertrekpunt is het inrichten van een periodieke reviewcyclus, bijvoorbeeld per kwartaal, waarin de effectiviteit van security monitoring wordt beoordeeld. Tijdens deze sessies bekijkt u samen met het SOC, security en compliance-teams onder andere: welke detectieregels worden daadwerkelijk geactiveerd en welke niet, welke nieuwe dreigingen zijn opgedoken die mogelijk nieuwe detectieregels vereisen, of incidentresponse-processen nog steeds effectief zijn, en welke verbeteringen mogelijk zijn zonder verlies van detectiecapaciteit. Het PowerShell-script kan hier direct input voor leveren door te rapporteren welke detectieregels actief zijn, hoe vaak ze worden geactiveerd, welke false positives optreden, en of incidentresponse-workflows correct functioneren. Op basis van deze informatie kunt u gericht bijsturen: onnodige regels uitfaseren, nieuwe regels toevoegen voor opkomende dreigingen, en incidentresponse-processen verbeteren op basis van lessen uit eerdere incidenten. Governance betekent ook dat eigenaarschap over security monitoring-configuraties expliciet wordt toegewezen. Voor elke detectieregel, threat hunting-query en incidentresponse-workflow moet duidelijk zijn wie verantwoordelijk is voor het beheer, hoe wijzigingen worden aangevraagd en goedgekeurd, en hoe kennis wordt geborgd bij personeelswisselingen. In de context van Nederlandse overheidsorganisaties is het verstandig om dit eigenaarschap te koppelen aan bestaande rollen binnen de informatiebeveiligingsorganisatie, zoals de CISO, security analisten en incidentresponse-specialisten. Leg vast dat grote wijzigingen in security monitoring-configuraties altijd via het changeproces lopen en dat bij ingrijpende wijzigingen – bijvoorbeeld het toevoegen van nieuwe detectieregels of het wijzigen van incidentresponse-workflows – expliciet akkoord van security of compliance nodig is.

Gebruik PowerShell-script security-monitoring-enabled.ps1 (functie Invoke-Revert) – Biedt waar nodig een gecontroleerd mechanisme om test- of tijdelijke security monitoring-configuraties terug te draaien naar een eerder vastgelegde, goedgekeurde staat..

Compliance, Audit en Bewijsvoering rondom Security Monitoring

Security monitoring-configuraties spelen een belangrijke rol in het aantonen van compliance met uiteenlopende kaders zoals de BIO, ISO 27001 en NIS2. Toezichthouders en auditors vragen steeds vaker niet alleen óf security monitoring is ingericht, maar ook hoe de organisatie waarborgt dat beveiligingsincidenten tijdig worden gedetecteerd, onderzocht en aangepakt. Tijdens audits worden bijvoorbeeld vragen gesteld als: hoe weet u dat alle kritieke resources worden gemonitord? Hoe borgt u dat nieuwe dreigingen worden gedetecteerd? En hoe voorkomt u dat wijzigingen in architectuur leiden tot verlies van monitoring-capaciteiten? Een goed gedocumenteerde security monitoring-architectuur, gecombineerd met aantoonbare reviewcycli en scriptgestuurde controles, vormt het antwoord op deze vragen. Voor de BIO sluiten security monitoring-configuraties vooral aan bij de normen rond logging, monitoring en incidentrespons. Door in het informatiebeveiligingsbeleid expliciet op te nemen dat kritieke processen ondersteund worden door security monitoring met gedefinieerde detectieregels en incidentresponse-workflows, en door de concrete invulling te documenteren per workload, kan de organisatie richting ENSIA-auditors onderbouwen dat security monitoring structureel is ingericht. Het PowerShell-script levert daarbij concreet auditbewijs in de vorm van exports die tonen welke detectieregels actief zijn, hoe vaak ze worden geactiveerd, welke incidenten zijn gedetecteerd en hoe deze zijn afgehandeld. Deze exports kunnen worden bewaard in een auditdossier, samen met besluiten uit de periodieke reviewmeetings en runbooks die beschrijven hoe het SOC gebruik maakt van security monitoring voor incidentdetectie en threat hunting. Voor ISO 27001 en NIS2 is vooral van belang dat er een aantoonbare PDCA-cyclus (Plan-Do-Check-Act) bestaat rondom security monitoring. Het plan-niveau wordt ingevuld via architectuur- en beleidsdocumenten, de do-fase via implementatie van detectieregels en incidentresponse-workflows, de check-fase via periodieke analyses en scriptgestuurde controles, en de act-fase via verbetermaatregelen op basis van bevindingen en incidenten. Door deze samenhang expliciet te maken in documentatie en tijdens audits te illustreren met concrete voorbeelden – bijvoorbeeld een incident waarbij security monitoring een dreiging vroegtijdig signaleerde, of een oefening waarin threat hunting is getest – ontstaat een overtuigend beeld van volwassen security monitoring. Het gebruik van security-monitoring-enabled.ps1 als standaardinstrument in deze check-fase toont bovendien aan dat de organisatie niet afhankelijk is van handmatige controles, maar geautomatiseerde waarborgen inzet om de kwaliteit van security monitoring-configuraties op niveau te houden.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Security Monitoring Ingeschakeld: Detectie, Threat Hunting en Incidentrespons .DESCRIPTION Controleert of Azure-abonnementen correct zijn geconfigureerd met security monitoring voor detectie van beveiligingsdreigingen, threat hunting en incidentrespons. Security monitoring vormt de ruggengraat van elke moderne cloudbeveiligingsstrategie en is essentieel voor het tijdig detecteren en aanpakken van beveiligingsincidenten. .NOTES Filename: security-monitoring-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-15 Last Modified: 2025-01-15 Version: 1.0 Related JSON: content/azure/monitoring/security-monitoring-enabled.json Category: monitoring Workload: azure .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\security-monitoring-enabled.ps1 -Monitoring Check compliance status van security monitoring-configuraties .EXAMPLE .\security-monitoring-enabled.ps1 -Remediation Genereert een overzicht van ontbrekende security monitoring-configuraties en aanbevelingen voor herstel .EXAMPLE .\security-monitoring-enabled.ps1 -Remediation -WhatIf Show what would be changed without applying #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Monitor, Az.OperationalInsights, Az.SecurityInsights, Az.Resources [CmdletBinding()] param( [Parameter(HelpMessage = "Monitor current configuration status")] [switch]$Monitoring, [Parameter(HelpMessage = "Apply recommended configuration")] [switch]$Remediation, [Parameter(HelpMessage = "Revert to previous configuration")] [switch]$Revert, [Parameter(HelpMessage = "Show what would happen without making changes")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' # ============================================================================ # HEADER # ============================================================================ Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Security Monitoring Ingeschakeld" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # ============================================================================ # VARIABLES # ============================================================================ $PolicyName = "Security Monitoring" $PolicyDescription = "Controleert of Azure-abonnementen voorzien zijn van security monitoring voor detectie van beveiligingsdreigingen, threat hunting en incidentrespons." # ============================================================================ # FUNCTIONS # ============================================================================ function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Azure als dat nog niet is gebeurd. #> [CmdletBinding()] param() try { $context = Get-AzContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null } else { Write-Verbose "Reeds verbonden met Azure: $($context.Subscription.Name)" } } catch { Write-Error "Kon geen verbinding maken met Azure: $_" throw } } function Get-AzureSubscriptions { <# .SYNOPSIS Haalt alle Azure-abonnementen op waarvoor de gebruiker toegang heeft. .OUTPUTS Array van Azure-abonnement objecten. #> [CmdletBinding()] param() Write-Verbose "Ophalen van Azure-abonnementen..." try { $subscriptions = Get-AzSubscription -ErrorAction Stop return $subscriptions } catch { Write-Warning "Fout bij ophalen van abonnementen: $_" return @() } } function Get-SecurityWorkspaces { <# .SYNOPSIS Haalt security-specifieke Log Analytics Workspaces op voor een specifiek abonnement. .PARAMETER SubscriptionId De ID van het Azure-abonnement. .OUTPUTS Array van Log Analytics Workspace objecten die zijn gemarkeerd voor security. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$SubscriptionId ) Write-Verbose "Ophalen van security workspaces voor abonnement: $SubscriptionId" try { Set-AzContext -SubscriptionId $SubscriptionId -ErrorAction Stop | Out-Null $workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction SilentlyContinue # Filter workspaces die zijn gemarkeerd voor security (via tags of naamgeving) $securityWorkspaces = $workspaces | Where-Object { ($_.Tags.Keys -contains "Purpose" -and $_.Tags["Purpose"] -eq "Security") -or ($_.Tags.Keys -contains "Security" -and $_.Tags["Security"] -eq "True") -or ($_.Name -like "*security*" -or $_.Name -like "*sentinel*") } $workspaceDetails = @() foreach ($workspace in $securityWorkspaces) { try { $workspaceDetails += [PSCustomObject]@{ Id = $workspace.Id Name = $workspace.Name ResourceGroupName = $workspace.ResourceGroupName Location = $workspace.Location RetentionInDays = $workspace.RetentionInDays Sku = $workspace.Sku.Name CustomerId = $workspace.CustomerId Tags = $workspace.Tags } } catch { Write-Warning "Fout bij ophalen van details voor workspace '$($workspace.Name)': $_" } } return $workspaceDetails } catch { Write-Warning "Fout bij ophalen van security workspaces voor abonnement '$SubscriptionId': $_" return @() } } function Test-AzureSentinelEnabled { <# .SYNOPSIS Controleert of Azure Sentinel is ingeschakeld op een Log Analytics workspace. .PARAMETER WorkspaceId De ID van de Log Analytics workspace. .OUTPUTS Boolean: True als Azure Sentinel is ingeschakeld, anders False. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$WorkspaceId ) try { # Probeer Azure Sentinel-workspace op te halen $sentinel = Get-AzSentinelWorkspace -WorkspaceId $WorkspaceId -ErrorAction SilentlyContinue return ($null -ne $sentinel) } catch { # Als de module niet beschikbaar is of Sentinel niet is ingeschakeld, retourneer False return $false } } function Get-SecurityDiagnosticSettings { <# .SYNOPSIS Haalt diagnostische instellingen op voor kritieke resources die security-relevante logs verzamelen. .PARAMETER SubscriptionId De ID van het Azure-abonnement. .OUTPUTS Array van resources met security-relevante diagnostische instellingen. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$SubscriptionId ) Write-Verbose "Ophalen van security diagnostische instellingen voor abonnement: $SubscriptionId" try { Set-AzContext -SubscriptionId $SubscriptionId -ErrorAction Stop | Out-Null $resourceGroups = Get-AzResourceGroup -ErrorAction Stop $criticalGroups = $resourceGroups | Where-Object { $_.Tags.Keys -contains "Critical" -and $_.Tags["Critical"] -eq "True" } $securityResources = @() foreach ($rg in $criticalGroups) { $resources = Get-AzResource -ResourceGroupName $rg.ResourceGroupName -ErrorAction SilentlyContinue foreach ($resource in $resources) { # Controleer of resource diagnostische instellingen heeft die naar een security workspace gaan $diagSettings = Get-AzDiagnosticSetting -ResourceId $resource.ResourceId -ErrorAction SilentlyContinue if ($diagSettings) { foreach ($diag in $diagSettings) { if ($diag.WorkspaceId) { $workspace = Get-AzOperationalInsightsWorkspace -ResourceId $diag.WorkspaceId -ErrorAction SilentlyContinue if ($workspace) { $isSecurityWorkspace = ($workspace.Tags.Keys -contains "Purpose" -and $workspace.Tags["Purpose"] -eq "Security") -or ($workspace.Tags.Keys -contains "Security" -and $workspace.Tags["Security"] -eq "True") -or ($workspace.Name -like "*security*" -or $workspace.Name -like "*sentinel*") if ($isSecurityWorkspace) { $securityResources += [PSCustomObject]@{ ResourceId = $resource.ResourceId ResourceName = $resource.Name ResourceType = $resource.ResourceType ResourceGroup = $rg.ResourceGroupName WorkspaceId = $diag.WorkspaceId WorkspaceName = $workspace.Name DiagnosticName = $diag.Name } } } } } } } } return $securityResources } catch { Write-Warning "Fout bij ophalen van security diagnostische instellingen voor abonnement '$SubscriptionId': $_" return @() } } function Test-SecurityMonitoringCompliance { <# .SYNOPSIS Controleert of security monitoring voldoet aan compliance-vereisten. .PARAMETER Workspace De security workspace om te controleren. .OUTPUTS PSCustomObject met compliance-status. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [PSCustomObject]$Workspace ) $isCompliant = $true $issues = @() # Controleer of workspace is gemarkeerd voor security if (-not (($Workspace.Tags.Keys -contains "Purpose" -and $Workspace.Tags["Purpose"] -eq "Security") -or ($Workspace.Tags.Keys -contains "Security" -and $Workspace.Tags["Security"] -eq "True") -or ($Workspace.Name -like "*security*" -or $Workspace.Name -like "*sentinel*"))) { $isCompliant = $false $issues += "Workspace is niet expliciet gemarkeerd voor security monitoring" } # Controleer retentieperiode (minimaal 365 dagen voor security logs) if ($Workspace.RetentionInDays -lt 365) { $isCompliant = $false $issues += "Retentieperiode ($($Workspace.RetentionInDays) dagen) is minder dan de aanbevolen 365 dagen voor security logs" } return [PSCustomObject]@{ IsCompliant = $isCompliant Issues = $issues } } function Invoke-Monitoring { <# .SYNOPSIS Monitors and reports current security monitoring configuration status .DESCRIPTION Controleert per abonnement en resource: - Of security-specifieke Log Analytics workspaces zijn geconfigureerd - Of Azure Sentinel is ingeschakeld (indien beschikbaar) - Of kritieke resources security-relevante diagnostische instellingen hebben - Of workspaces correct zijn getagd en voldoen aan governance-vereisten .OUTPUTS Hashtable met: - isCompliant: Boolean - timestamp: Datum/tijd - findings: Lijst met tekstuele bevindingen - summary: Overzicht met aantallen workspaces en kritieke afwijkingen #> [CmdletBinding()] param() try { Write-Host "`nMonitoring security monitoring-configuraties..." -ForegroundColor Yellow Connect-RequiredServices | Out-Null $subscriptions = Get-AzureSubscriptions if ($subscriptions.Count -eq 0) { Write-Warning "Geen Azure-abonnementen gevonden." return @{ isCompliant = $false timestamp = Get-Date findings = @("Geen Azure-abonnementen gevonden; voer Connect-AzAccount uit voordat u deze controle draait.") summary = @{ SubscriptionsChecked = 0 SecurityWorkspacesChecked = 0 SecurityWorkspacesFound = 0 AzureSentinelEnabled = 0 CriticalResourcesWithSecurityDiag = 0 SecurityWorkspacesWithoutTags = 0 } } } $result = @{ isCompliant = $true timestamp = Get-Date findings = @() summary = @{ SubscriptionsChecked = 0 SecurityWorkspacesChecked = 0 SecurityWorkspacesFound = 0 AzureSentinelEnabled = 0 CriticalResourcesWithSecurityDiag = 0 SecurityWorkspacesWithoutTags = 0 } } foreach ($sub in $subscriptions) { $result.summary.SubscriptionsChecked++ Write-Host "`nAbonnement: $($sub.Name) [$($sub.Id)]" -ForegroundColor Cyan Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null # Controleer security workspaces $securityWorkspaces = Get-SecurityWorkspaces -SubscriptionId $sub.Id $result.summary.SecurityWorkspacesFound += $securityWorkspaces.Count if ($securityWorkspaces.Count -eq 0) { $result.isCompliant = $false $msg = "Geen security-specifieke Log Analytics workspaces gevonden in abonnement '$($sub.Name)'. Richt een dedicated security workspace in voor beveiligingslogs." $result.findings += $msg Write-Host " [FAIL] $msg" -ForegroundColor Red } else { Write-Host " [OK] $($securityWorkspaces.Count) security workspace(s) gevonden." -ForegroundColor Green foreach ($ws in $securityWorkspaces) { $result.summary.SecurityWorkspacesChecked++ Write-Host " Controleren workspace: $($ws.Name)" -ForegroundColor White # Controleer compliance $compliance = Test-SecurityMonitoringCompliance -Workspace $ws if (-not $compliance.IsCompliant) { $result.isCompliant = $false foreach ($issue in $compliance.Issues) { $msg = "Workspace '$($ws.Name)': $issue" $result.findings += $msg Write-Host " [WARN] $msg" -ForegroundColor Yellow } } # Controleer Azure Sentinel (indien beschikbaar) try { if (Test-AzureSentinelEnabled -WorkspaceId $ws.Id) { $result.summary.AzureSentinelEnabled++ Write-Host " [OK] Azure Sentinel is ingeschakeld op workspace '$($ws.Name)'." -ForegroundColor Green } else { Write-Host " [INFO] Azure Sentinel is niet ingeschakeld op workspace '$($ws.Name)'." -ForegroundColor Gray } } catch { Write-Verbose "Kon Azure Sentinel-status niet controleren: $_" } # Controleer tags if (-not $ws.Tags -or $ws.Tags.Count -eq 0) { $result.isCompliant = $false $result.summary.SecurityWorkspacesWithoutTags++ $msg = "Workspace '$($ws.Name)' heeft geen tags geconfigureerd. Voeg tags toe zoals Purpose=Security voor betere governance." $result.findings += $msg Write-Host " [WARN] $msg" -ForegroundColor Yellow } } } # Controleer security diagnostische instellingen op kritieke resources $securityResources = Get-SecurityDiagnosticSettings -SubscriptionId $sub.Id $result.summary.CriticalResourcesWithSecurityDiag += $securityResources.Count if ($securityResources.Count -eq 0) { Write-Host " [WARN] Geen kritieke resources gevonden met security-relevante diagnostische instellingen." -ForegroundColor Yellow } else { Write-Host " [OK] $($securityResources.Count) kritieke resource(s) met security diagnostische instellingen gevonden." -ForegroundColor Green } } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "SAMENVATTING SECURITY MONITORING" -ForegroundColor Cyan Write-Host (" Abonnementen gecontroleerd : {0}" -f $result.summary.SubscriptionsChecked) -ForegroundColor White Write-Host (" Security workspaces gevonden : {0}" -f $result.summary.SecurityWorkspacesFound) -ForegroundColor White Write-Host (" Security workspaces gecontroleerd : {0}" -f $result.summary.SecurityWorkspacesChecked) -ForegroundColor White Write-Host (" Azure Sentinel ingeschakeld : {0}" -f $result.summary.AzureSentinelEnabled) -ForegroundColor White Write-Host (" Kritieke resources met security diag : {0}" -f $result.summary.CriticalResourcesWithSecurityDiag) -ForegroundColor White $colorTags = 'Green' if ($result.summary.SecurityWorkspacesWithoutTags -gt 0) { $colorTags = 'Yellow' } Write-Host (" Security workspaces zonder tags : {0}" -f $result.summary.SecurityWorkspacesWithoutTags) -ForegroundColor $colorTags if ($result.isCompliant) { Write-Host "`n[OK] COMPLIANT: Security monitoring-configuraties voldoen aan minimale vereisten." -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT: Zie bevindingen voor ontbrekende configuraties." -ForegroundColor Red } return $result } catch { Write-Host "`n[FAIL] ERROR tijdens monitoring: $_" -ForegroundColor Red throw } } function Invoke-Remediation { <# .SYNOPSIS Biedt ondersteuning bij het aanmaken van standaard security monitoring-configuraties. .DESCRIPTION Zoekt abonnementen zonder security workspaces en kan, indien bevestigd, aanbevelingen doen voor het inrichten van security monitoring. Gebruik bij voorkeur -WhatIf om de impact te beoordelen. .PARAMETER WhatIf Shows what would be changed without making actual changes #> [CmdletBinding(SupportsShouldProcess)] param() try { Write-Host "`nRemediation van security monitoring-configuraties..." -ForegroundColor Yellow Connect-RequiredServices | Out-Null $subscriptions = Get-AzureSubscriptions foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null Write-Host "`nAbonnement: $($sub.Name) [$($sub.Id)]" -ForegroundColor Cyan $securityWorkspaces = Get-SecurityWorkspaces -SubscriptionId $sub.Id if ($securityWorkspaces.Count -eq 0) { Write-Host " [PLAN] Geen security workspace gevonden. Aanbeveling: richt een dedicated Log Analytics workspace in voor security monitoring." -ForegroundColor Yellow Write-Host " - Naam: law-$($sub.Name.ToLower())-security" -ForegroundColor Gray Write-Host " - Tag: Purpose=Security" -ForegroundColor Gray Write-Host " - Retentie: minimaal 365 dagen" -ForegroundColor Gray Write-Host " - Overweeg Azure Sentinel in te schakelen voor geavanceerde threat detection" -ForegroundColor Gray } else { Write-Host " [OK] Security workspace(s) gevonden: $($securityWorkspaces.Name -join ', ')" -ForegroundColor Green } } Write-Host "`n[OK] Remediation uitgevoerd (of gesimuleerd met WhatIf)." -ForegroundColor Green } catch { Write-Host "`n[FAIL] ERROR tijdens remediation: $_" -ForegroundColor Red throw } } function Invoke-Revert { <# .SYNOPSIS Reverts configuration to previous state .DESCRIPTION In deze baseline is geen volledige state-tracking voor security monitoring-configuraties geïmplementeerd. Deze functie is beschikbaar voor toekomstige uitbreiding. #> [CmdletBinding(SupportsShouldProcess)] param() Write-Host "`nRevert functionaliteit is nog niet geïmplementeerd voor security monitoring." -ForegroundColor Yellow Write-Host "Voor het terugdraaien van wijzigingen, gebruik de Azure Portal of Infrastructure as Code." -ForegroundColor Yellow } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { if ($Monitoring) { $result = Invoke-Monitoring return $result } elseif ($Remediation) { Invoke-Remediation } elseif ($Revert) { Invoke-Revert } else { Write-Host "Gebruik -Monitoring, -Remediation of -Revert om het script uit te voeren." -ForegroundColor Yellow Write-Host "Voor help: Get-Help .\security-monitoring-enabled.ps1" -ForegroundColor Yellow } } catch { Write-Host "`n[FAIL] FATAL ERROR: $_" -ForegroundColor Red exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder actieve security monitoring blijven beveiligingsincidenten, misbruik van bevoegdheden en geavanceerde dreigingen onzichtbaar totdat schade is aangericht. Dit leidt tot langere detectietijden, gemiste dreigingen, onvoldoende compliance-bewijsvoering en het onvermogen om richting bestuurders en auditors aan te tonen dat security monitoring actief en effectief is. Dit vergroot de kans op langdurige uitval, gegevensverlies, reputatieschade en non-compliance met BIO, ISO 27001 en NIS2.

Management Samenvatting

Richt een gestructureerde security monitoring-architectuur in met dedicated security workspaces, detectieregels voor veelvoorkomende dreigingen, threat hunting-workflows en geautomatiseerde incidentresponse. Automatiseer de uitrol en inventarisatie van security monitoring-configuraties met PowerShell, gebruik security-monitoring-enabled.ps1 om de inrichting periodiek te toetsen en verbeter deze op basis van incidenten en audits. Zo borgt u dat beveiligingsincidenten tijdig worden gedetecteerd, onderzocht en aangepakt, en dat security monitoring aantoonbaar wordt gemaakt richting bestuur en toezichthouders.