💼 Management Samenvatting
Azure Network Watcher moet ingeschakeld zijn in elke Azure-regio waar resources zijn geïmplementeerd om netwerkdiagnostiek, monitoring, connectiviteitsprobleemoplossing en beveiligingsanalyses mogelijk te maken via NSG Flow Logs, Traffic Analytics en netwerktopologievisualisatie.
Aanbeveling
IMPLEMENTEER - Zie network-watcher-enabled-all-regions.json
Risico zonder
Medium
Risk Score
6/10
Implementatie
0u
Van toepassing op:
✓ Azure Virtual Networks
✓ Azure Subscriptions
✓ Azure Subscriptions
Azure Network Watcher is de fundamentele Azure-service voor netwerkzichtbaarheid en diagnostiek. Zonder deze service zijn kritieke beveiligings- en operationele mogelijkheden onbeschikbaar. NSG Flow Logs vormen een kritieke functionaliteit die Azure Network Watcher vereist voor het loggen van toegestaan en geweigerd verkeer door NSG-regels. Dit is essentieel voor beveiligingsmonitoring, compliance-audits en de detectie van beveiligingsdreigingen. Traffic Analytics vereist Azure Network Watcher in combinatie met NSG Flow Logs voor AI-gestuurde netwerkverkeersanalyse met anomaliedetectie en beveiligingsinzichten. Netwerkprobleemoplossing zoals IP Flow Verify, Next Hop-analyse, connectiviteitsprobleemoplossing en VPN-diagnostiek vereisen allemaal Azure Network Watcher. Beveiligingsmonitoring omvat de detectie van brute force-aanvallen, poortscanning en verdachte verkeerspatronen via flow log-analyse. Compliance-vereisten zoals BIO, ISO 27001 en NIS2 vereisen netwerkverkeerslogging, wat Azure Network Watcher mogelijk maakt. Bij incidentrespons is netwerkflowdata cruciaal voor forensisch onderzoek, maar zonder Azure Network Watcher zijn er geen flow logs beschikbaar. Zonder Azure Network Watcher zijn er geen NSG Flow Logs mogelijk, wat een kritieke beveiligingskloof vormt. Er is geen Traffic Analytics beschikbaar voor de detectie van beveiligingsdreigingen, geen netwerkdiagnostiekcapaciteiten waardoor troubleshooting blind verloopt, geen netwerktopologievisualisatie, geen connectiviteitsmonitoring en er ontstaan compliance-overtredingen door het ontbreken van netwerklogging. De kosten van Azure Network Watcher zijn minimaal, aangezien het een gratis service is waarbij alleen opslagkosten voor flow logs worden doorberekend, ongeveer twee tot vijf euro per maand per NSG.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
Deze controle verifieert dat een Azure Network Watcher-resource bestaat in elke Azure-regio waar de organisatie resources heeft geïmplementeerd. De Azure Network Watcher-resourcestructuur bestaat uit een automatisch aangemaakte resourcegroep genaamd NetworkWatcherRG per regio en een Azure Network Watcher-resource met de naam NetworkWatcher_
Vereisten
Voor het implementeren van deze controle zijn verschillende vereisten van toepassing die organisaties moeten overwegen voordat zij Azure Network Watcher inschakelen. De primaire vereiste is een actief Azure-abonnement met geïmplementeerde resources in een of meer regio's. Dit betekent dat organisaties al Azure Virtual Networks, virtuele machines of andere netwerkresources moeten hebben geïmplementeerd voordat Azure Network Watcher relevant wordt. Zonder bestaande netwerkresources heeft het inschakelen van Azure Network Watcher beperkte waarde, aangezien de service bedoeld is om deze resources te monitoren en te diagnosticeren. Naast het Azure-abonnement zijn specifieke machtigingen vereist voor het aanmaken en beheren van Azure Network Watcher-resources. Organisaties hebben Network Contributor-rechten nodig om Azure Network Watcher-resources aan te kunnen maken. Deze rol biedt de benodigde machtigingen voor het beheren van netwerkresources binnen het Azure-abonnement. Daarnaast is toestemming vereist om resourcegroepen aan te maken, specifiek de NetworkWatcherRG-resourcegroep die automatisch wordt aangemaakt wanneer Azure Network Watcher voor het eerst wordt ingeschakeld in een regio. Een kritieke voorbereidingsstap is het inventariseren van alle Azure-regio's waar de organisatie momenteel resources heeft geïmplementeerd, evenals regio's waar in de toekomst resources gepland staan. Deze inventarisatie is essentieel omdat Azure Network Watcher per regio moet worden ingeschakeld. Organisaties die resources hebben verspreid over meerdere regio's moeten ervoor zorgen dat Azure Network Watcher in elke relevante regio wordt ingeschakeld om volledige netwerkzichtbaarheid te garanderen. Voor organisaties die van plan zijn NSG Flow Logs in te schakelen, wat sterk wordt aanbevolen voor beveiligingsmonitoring en compliance, zijn aanvullende Azure-opslagaccounts vereist. Deze opslagaccounts worden gebruikt om de flow log-gegevens op te slaan. Organisaties moeten rekening houden met de opslagkosten die gepaard gaan met het bewaren van flow log-gegevens, met name wanneer zij een bewaarperiode van minimaal negentig dagen implementeren voor compliance-doeleinden. Vanuit budgetperspectief is het belangrijk te begrijpen dat de Azure Network Watcher-service zelf gratis is. Microsoft rekent geen kosten voor het gebruik van de service. De enige kosten die organisaties kunnen verwachten zijn de opslagkosten voor NSG Flow Logs wanneer deze functionaliteit wordt ingeschakeld. Deze kosten zijn doorgaans minimaal, variërend van ongeveer twee tot vijf euro per maand per NSG, afhankelijk van de hoeveelheid netwerkverkeer en de gekozen bewaarperiode. Deze lage kosten maken Azure Network Watcher een zeer kosteneffectieve oplossing voor netwerkmonitoring en beveiligingsanalyse.
Implementatie
De implementatie van Azure Network Watcher begint met een grondige audit van de huidige status. Voordat organisaties nieuwe resources aanmaken, is het essentieel om te begrijpen welke regio's al Azure Network Watcher hebben ingeschakeld en welke regio's nog aandacht vereisen. Deze auditfase voorkomt onnodige duplicatie en helpt organisaties een duidelijk beeld te krijgen van hun huidige netwerkmonitoring-infrastructuur. Het PowerShell-script network-watcher-enabled.ps1 met de functie Invoke-Monitoring biedt een geautomatiseerde methode om de aanwezigheid van Azure Network Watcher per regio te verifiëren. Dit script doorloopt alle beschikbare Azure-regio's en controleert of er een Network Watcher-resource bestaat. Door dit script uit te voeren kunnen organisaties snel identificeren welke regio's Azure Network Watcher al hebben ingeschakeld en welke regio's nog ontbreken. Na het uitvoeren van het script moeten organisaties de resultaten analyseren en regio's identificeren zonder ingeschakelde Azure Network Watcher. Vervolgens moeten zij een lijst samenstellen van alle regio's waar de organisatie resources heeft geïmplementeerd. Deze lijst dient als basis voor prioritering, waarbij organisaties zich eerst moeten richten op regio's met actieve resources, aangezien deze het meest kritiek zijn voor operationele monitoring en beveiliging.
Gebruik PowerShell-script network-watcher-enabled.ps1 (functie Invoke-Monitoring) – PowerShell-script voor verificatie van Azure Network Watcher-aanwezigheid per regio.
De tweede stap in het implementatieproces betreft het inschakelen van Azure Network Watcher via de Azure Portal. Deze methode is bijzonder geschikt voor organisaties die de voorkeur geven aan een visuele interface of die Azure Network Watcher in een beperkt aantal regio's moeten inschakelen. Het proces begint met het openen van de Azure Portal en het zoeken naar 'Azure Network Watcher' in de zoekbalk.
Eenmaal in de Azure Network Watcher-overzichtspagina kunnen gebruikers via het linkermenu naar het Overview-gedeelte navigeren. Hier vinden zij een regiodropdownmenu waarmee zij de specifieke regio kunnen selecteren waarin zij Azure Network Watcher willen inschakelen. Wanneer Azure Network Watcher nog niet is ingeschakeld in de geselecteerde regio, verschijnt er een knop met de tekst 'Schakel Azure Network Watcher in
Voor organisaties die Azure Network Watcher in meerdere regio's moeten inschakelen, biedt PowerShell een efficiëntere bulkoperatie. Deze methode is bijzonder waardevol voor grote organisaties met resources verspreid over talrijke regio's, omdat het handmatige herhaling elimineert en de kans op menselijke fouten vermindert. Het proces begint met het verbinden met Azure via de Connect-AzAccount-cmdlet. Vervolgens kunnen organisaties een lijst genereren van alle regio's die Azure Network Watcher nodig hebben door gebruik te maken van de Get-AzLocation-cmdlet, gefilterd op regio's die de Microsoft.Network-provider ondersteunen. Deze lijst kan worden opgeslagen in een variabele voor verdere verwerking. Met behulp van een ForEach-Object-lus kunnen organisaties vervolgens Azure Network Watcher inschakelen in elke regio door de New-AzNetworkWatcher-cmdlet aan te roepen. Deze cmdlet maakt de Network Watcher-resource aan met de juiste naamconventie en in de juiste resourcegroep. Het gebruik van ErrorAction SilentlyContinue voorkomt dat het script stopt wanneer een resource al bestaat. Na voltooiing van de bulkoperatie moeten organisaties de status verifiëren door Get-AzNetworkWatcher uit te voeren en de ProvisioningState te controleren. Alle resources moeten de status Succeeded tonen om te bevestigen dat de implementatie succesvol is voltooid.
Na het inschakelen van Azure Network Watcher in de benodigde regio's is de volgende aanbevolen stap het inschakelen van NSG Flow Logs. Deze functionaliteit is een kritieke uitbreiding op Azure Network Watcher en biedt gedetailleerde logging van netwerkverkeer dat door netwerkbeveiligingsgroepen wordt gefilterd. NSG Flow Logs zijn essentieel voor beveiligingsmonitoring, compliance en forensisch onderzoek. Een belangrijke voorwaarde voor het inschakelen van NSG Flow Logs is dat Azure Network Watcher al moet zijn ingeschakeld in de betreffende regio. Zonder deze voorwaarde is de functionaliteit niet beschikbaar. Het inschakelproces wordt uitgevoerd per netwerkbeveiligingsgroep, wat betekent dat organisaties voor elke NSG afzonderlijk de configuratie moeten voltooien. Het proces begint met het navigeren naar Azure Network Watcher in de Azure Portal, gevolgd door het selecteren van NSG Flow Logs in het menu. Door op de knop Add te klikken kunnen organisaties een nieuwe flow log-configuratie starten. Vervolgens selecteren zij de specifieke netwerkbeveiligingsgroep waarvoor zij flow logging willen inschakelen en configureren zij het opslagaccount waar de loggegevens moeten worden opgeslagen. Organisaties wordt sterk aangeraden om Traffic Analytics in te schakelen, hoewel dit optioneel is. Traffic Analytics biedt AI-gestuurde analyse van netwerkverkeer en helpt bij het identificeren van anomalieën en beveiligingsdreigingen. Voor compliance-doeleinden moeten organisaties een minimale bewaarperiode van negentig dagen instellen voor flow log-gegevens. Deze bewaarperiode is vereist door verschillende compliance-frameworks en stelt organisaties in staat om historische netwerkactiviteit te analyseren tijdens incidentonderzoek. Het wordt aanbevolen om NSG Flow Logs te implementeren voor alle kritieke netwerkbeveiligingsgroepen om uitgebreide beveiligingsmonitoring te garanderen.
Monitoring
Gebruik PowerShell-script network-watcher-enabled.ps1 (functie Invoke-Monitoring) – Continue monitoring van Azure Network Watcher-status per regio.
Continue monitoring van Azure Network Watcher is essentieel om ervoor te zorgen dat de netwerkmonitoring-infrastructuur operationeel blijft en dat organisaties geen beveiligingsblindheid ervaren. Het monitoringproces moet worden geïntegreerd in de reguliere operationele procedures van de organisatie om tijdige detectie van problemen te garanderen. Een wekelijkse uitvoering van het PowerShell-script voor verificatie van Azure Network Watcher-status in alle actieve regio's vormt de basis van effectieve monitoring. Deze regelmatige controle helpt organisaties om snel te identificeren wanneer Azure Network Watcher onverwacht wordt uitgeschakeld of wanneer nieuwe regio's worden toegevoegd zonder dat Azure Network Watcher is ingeschakeld. Het script kan worden geautomatiseerd via Azure Automation of geplande taken om consistentie te waarborgen. Voor langetermijnbeheer en naleving is het implementeren van Azure Policy een krachtige methode om de aanwezigheid van Azure Network Watcher af te dwingen. Door een aangepast beleid te maken dat vereist dat Azure Network Watcher aanwezig is in alle regio's met geïmplementeerde resources, kunnen organisaties automatische handhaving realiseren. Dit beleid voorkomt dat nieuwe resources worden geïmplementeerd zonder de benodigde monitoring-infrastructuur en zorgt ervoor dat bestaande configuraties in overeenstemming blijven met organisatorische vereisten. Wanneer organisaties nieuwe regio's implementeren, moeten zij verifiëren dat Azure Network Watcher automatisch is aangemaakt. Sinds 2018 zou Azure Network Watcher automatisch moeten worden aangemaakt wanneer de eerste Virtual Network in een regio wordt geïmplementeerd. Echter, voor oudere abonnementen of in specifieke configuraties kan dit automatische proces mogelijk niet hebben plaatsgevonden. Daarom is verificatie na elke nieuwe regio-implementatie een best practice. Resourcegroepmonitoring is een kritiek aspect van continue monitoring. Organisaties moeten ervoor zorgen dat de NetworkWatcherRG-resourcegroep niet per ongeluk wordt verwijderd, aangezien dit alle Azure Network Watcher-resources in die regio zou verwijderen en resulteren in verlies van netwerkmonitoring. Het implementeren van resource locks op de NetworkWatcherRG-resourcegroep biedt bescherming tegen accidentele verwijdering. Regelmatige controle van de Azure Network Watcher-servicegezondheid via de Azure Portal is belangrijk voor het identificeren van serviceproblemen. Door te navigeren naar Azure Network Watcher in de portal kunnen organisaties de service status controleren en eventuele gezondheidsproblemen identificeren die mogelijk van invloed zijn op de functionaliteit. Flow log-verificatie moet worden beschouwd als een afzonderlijk monitoringproces, aangezien het inschakelen van Azure Network Watcher niet automatisch betekent dat NSG Flow Logs zijn ingeschakeld. Organisaties moeten regelmatig verifiëren dat flow logs actief blijven en dat de configuratie niet onbedoeld is gewijzigd. Dit is bijzonder belangrijk omdat flow logs essentieel zijn voor beveiligingsmonitoring en compliance. Ten slotte moeten organisaties alerts configureren voor Azure Network Watcher-resourceverwijdering, aangezien dit een kritiek beveiligingsgebeurtenis is. Deze alerts moeten onmiddellijk worden geactiveerd wanneer een Azure Network Watcher-resource wordt verwijderd, zodat organisaties snel kunnen reageren en de monitoring-infrastructuur kunnen herstellen voordat er significante beveiligingsblindheid optreedt.
Remediatie
Gebruik PowerShell-script network-watcher-enabled.ps1 (functie Invoke-Remediation) – Herstellen van Azure Network Watcher-configuratie.
Wanneer Azure Network Watcher niet is ingeschakeld in een actieve regio, moeten organisaties onmiddellijk actie ondernemen om de beveiligingsblindheid te elimineren. De eerste en meest kritieke stap is het onmiddellijk inschakelen van Azure Network Watcher in de ontbrekende regio. Dit kan worden gedaan via PowerShell voor geautomatiseerde bulkoperaties of via de Azure Portal voor individuele regio's. De keuze tussen deze methoden hangt af van de urgentie en het aantal betrokken regio's. Na het inschakelen van Azure Network Watcher moeten organisaties onderzoeken waarom de service niet was ingeschakeld. Was Azure Network Watcher verwijderd, of was het nooit geïmplementeerd? Het verwijderen van Azure Network Watcher is ongebruikelijk en kan wijzen op een beveiligingsincident, een ongeluk of een gebrek aan begrip van de kritieke aard van deze service. Deze analyse is belangrijk om te voorkomen dat het probleem zich opnieuw voordoet. Een kritieke volgende stap is het inschakelen van NSG Flow Logs voor alle netwerkbeveiligingsgroepen in de regio. Tijdens de periode waarin Azure Network Watcher niet was ingeschakeld, zijn er mogelijk beveiligingsgegevens verloren gegaan. Door flow logs onmiddellijk in te schakelen kunnen organisaties ten minste toekomstige netwerkactiviteit monitoren, hoewel historische gegevens voor de gap-periode niet beschikbaar zullen zijn. Organisaties moeten de netwerkactiviteit tijdens de gap-periode zo goed mogelijk beoordelen, hoewel de zichtbaarheid beperkt zal zijn. Dit kan betekenen dat organisaties moeten vertrouwen op andere monitoringbronnen zoals virtuele machine-logboeken, applicatielogboeken of externe monitoringtools. Deze beperkte zichtbaarheid vormt een beveiligingszorg, aangezien potentiële bedreigingen mogelijk niet zijn gedetecteerd tijdens deze periode. Documentatie van de gap-periode is essentieel voor compliance en incidentrespons. Organisaties moeten documenteren wanneer de gap bestond, hoe lang deze duurde en wat het potentiële beveiligingsblindheid was. Deze documentatie kan belangrijk zijn tijdens audits en helpt organisaties te begrijpen welke risico's zij mogelijk hebben gelopen. Root cause-analyse is cruciaal om te voorkomen dat het probleem zich opnieuw voordoet. Organisaties moeten onderzoeken hoe Azure Network Watcher niet was ingeschakeld. Was het een nieuwe regio die werd geïmplementeerd zonder de juiste procedures? Was Azure Network Watcher per ongeluk verwijderd? Of was het nooit geïmplementeerd vanwege een gebrek aan bewustzijn of procedures? Deze analyse helpt organisaties hun processen te verbeteren. Ten slotte moeten organisaties enforcement-beleid implementeren om toekomstige gaps te voorkomen. Dit kan bestaan uit Azure Policy-definities die vereisen dat Azure Network Watcher aanwezig is, geautomatiseerde monitoring die alerts genereert wanneer Azure Network Watcher ontbreekt, en organisatorische procedures die verificatie vereisen voordat nieuwe regio's in productie worden genomen.
In het geval dat de NetworkWatcherRG-resourcegroep per ongeluk wordt verwijderd, is de situatie bijzonder ernstig omdat dit alle Azure Network Watcher-resources in die regio verwijdert en resulteert in volledig verlies van netwerkmonitoring. De onmiddellijke actie is het opnieuw aanmaken van de NetworkWatcherRG-resourcegroep. Deze resourcegroep moet worden aangemaakt met de exacte naam NetworkWatcherRG om compatibiliteit te garanderen met Azure Network Watcher. Na het opnieuw aanmaken van de resourcegroep moeten organisaties Azure Network Watcher-resources opnieuw implementeren in alle regio's waar deze zijn verwijderd. Dit proces is vergelijkbaar met de initiële implementatie, maar moet worden uitgevoerd met urgentie vanwege de beveiligingsblindheid die is ontstaan. Een kritiek aspect van herstel is het opnieuw configureren van NSG Flow Logs. Wanneer de NetworkWatcherRG-resourcegroep wordt verwijderd, gaan alle flow log-configuraties verloren. Organisaties moeten deze configuraties handmatig opnieuw inschakelen voor elke netwerkbeveiligingsgroep. Dit is een tijdrovend proces maar essentieel voor het herstellen van volledige netwerkmonitoring. Organisaties moeten accepteren dat flow log-gegevens tijdens de gap-periode verloren zijn gegaan en niet kunnen worden hersteld. Azure biedt geen mogelijkheid om deze gegevens te herstellen na verwijdering van de resourcegroep. Dit gegevensverlies kan significante gevolgen hebben voor forensisch onderzoek en compliance-audits, vooral als er tijdens de gap-periode beveiligingsincidenten hebben plaatsgevonden. Om toekomstige incidenten te voorkomen moeten organisaties resource locks implementeren op de NetworkWatcherRG-resourcegroep. Resource locks voorkomen dat de resourcegroep per ongeluk wordt verwijderd, zelfs door gebruikers met verwijderingsmachtigingen. Deze locks kunnen niet worden verwijderd zonder expliciete unlock-bewerkingen, wat een extra beveiligingslaag biedt. Een belangrijk onderdeel van preventie is het beoordelen van wie verwijderingsmachtigingen had op de resourcegroep. Organisaties moeten het principe van least privilege toepassen en ervoor zorgen dat alleen geautoriseerd personeel machtigingen heeft om kritieke monitoring-infrastructuur te verwijderen. Deze beoordeling kan leiden tot wijzigingen in roltoewijzingen en toegangsbeheer. Ten slotte moeten organisaties alerts configureren voor resourcegroepverwijderingsgebeurtenissen. Deze alerts moeten onmiddellijk worden geactiveerd wanneer een kritieke resourcegroep zoals NetworkWatcherRG wordt verwijderd, zodat organisaties snel kunnen reageren en de schade kunnen beperken. Deze alerts kunnen worden geconfigureerd via Azure Monitor en kunnen worden geïntegreerd met bestaande incidentresponsprocessen.
Compliance en Auditing
Deze controle vormt de fundering voor naleving van netwerkloggingvereisten zoals vastgelegd in verschillende internationale en nationale compliance-frameworks. Azure Network Watcher is niet alleen een handige monitoringtool, maar een essentiële component voor organisaties die moeten voldoen aan strikte beveiligings- en compliance-eisen. De CIS Azure Foundations Benchmark versie 3.0.0 specificeert in controle 6.6 expliciet dat Azure Network Watcher moet zijn ingeschakeld in alle regio's. Deze controle is geclassificeerd als Level 1, wat betekent dat deze moet worden geïmplementeerd voor alle organisaties die de CIS-benchmark volgen. Het niet naleven van deze controle resulteert in een directe compliance-overtreding en kan leiden tot beveiligingsrisico's die tijdens audits worden geïdentificeerd. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid, oftewel BIO, van bijzonder belang. BIO-controle 12.04.01 vereist logging- en monitoringcapaciteiten voor netwerkverkeer. Azure Network Watcher biedt de infrastructuur die nodig is om aan deze vereiste te voldoen door netwerkverkeerslogging mogelijk te maken via NSG Flow Logs. Zonder Azure Network Watcher kunnen organisaties niet voldoen aan deze BIO-vereiste, wat kan leiden tot niet-naleving van overheidsstandaarden. ISO 27001:2022 bevat meerdere controles die relevant zijn voor Azure Network Watcher. Controle A.8.16 vereist monitoringactiviteiten en een netwerkmonitoringinfrastructuur die organisaties in staat stelt netwerkactiviteit te observeren en te analyseren. Controle A.12.4.1 vereist gebeurtenislogging en audittrails, met specifieke aandacht voor netwerkgebeurteniscapture-capaciteiten. Azure Network Watcher, in combinatie met NSG Flow Logs, biedt de benodigde functionaliteit om aan beide controles te voldoen. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in de Europese Unie, vereist in artikel 21 monitoring van netwerkbeveiligingsgebeurtenissen en incidentdetectie. Nederlandse organisaties die onder de NIS2-richtlijn vallen moeten kunnen aantonen dat zij netwerkactiviteit monitoren en beveiligingsincidenten kunnen detecteren. Azure Network Watcher vormt een kritieke component van deze monitoringinfrastructuur. Voor organisaties die betalingstransacties verwerken, is PCI-DSS Requirement 10.2.1 van toepassing, dat logging van netwerktoegang vereist. Deze vereiste is bedoeld om een audit trail te creëren van alle netwerktoegang tot systemen die betalingstransacties verwerken. Azure Network Watcher, gecombineerd met NSG Flow Logs, biedt de gedetailleerde logging die nodig is om aan deze PCI-DSS-vereiste te voldoen. De Algemene Verordening Gegevensbescherming, oftewel AVG, vereist in artikel 32 passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen. Dit omvat beveiligingsmonitoring en inbreukdetectiecapaciteiten. Azure Network Watcher helpt organisaties te voldoen aan deze vereiste door netwerkmonitoring te bieden die kan helpen bij het detecteren van beveiligingsinbreuken die van invloed kunnen zijn op persoonsgegevens. Het NIST Cybersecurity Framework bevat in de categorie Detect (DE) de controle DE.CM-1, die vereist dat netwerken worden gemonitord om potentiële cybersecurity-gebeurtenissen te detecteren. Azure Network Watcher biedt de infrastructuur die nodig is om deze monitoring uit te voeren, vooral wanneer het wordt gecombineerd met Traffic Analytics voor geavanceerde detectie. Het is belangrijk te begrijpen dat Azure Network Watcher een vereiste is voor NSG Flow Logs, die op hun beurt verplicht zijn voor beveiligingscompliance. Zonder Azure Network Watcher kunnen organisaties geen NSG Flow Logs inschakelen, wat betekent dat zij niet kunnen voldoen aan de netwerkloggingvereisten die door deze verschillende frameworks worden gesteld. Deze afhankelijkheid maakt Azure Network Watcher niet alleen een best practice, maar een absolute vereiste voor organisaties die serieus zijn over compliance en beveiliging.
Compliance & Frameworks
- CIS M365: Control 6.6 (L1) - Zorg ervoor dat Azure Network Watcher is ingeschakeld in alle regio's
- BIO: 12.04.01 - Logging en monitoring - netwerkverkeerlogging-infrastructuur
- ISO 27001:2022: A.8.16, A.12.4.1 - Monitoringactiviteiten en gebeurtenissenlogging en audittrails
- NIS2: Artikel - Beveiligingsgebeurtenismonitoring en incidentdetectie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Network Watcher Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.12
Controleert of Network Watcher is ingeschakeld in alle regio's.
.NOTES
Filename: network-watcher-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.12
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Network Watcher Enabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$networkWatchers = Get-AzNetworkWatcher -ErrorAction SilentlyContinue
$locations = Get-AzLocation | Where-Object { $_.Providers -contains 'Microsoft.Network' }
$result = @{ TotalWatchers = $networkWatchers.Count; TotalLocations = $locations.Count }
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Network Watchers: $($r.TotalWatchers)" -ForegroundColor $(if ($r.TotalWatchers -gt 0) { 'Green' } else { 'Yellow' })
Write-Host "Azure Locations: $($r.TotalLocations)" -ForegroundColor White
if ($r.TotalWatchers -eq 0) {
Write-Host "`n⚠️ Network Watcher moet ingeschakeld zijn" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nNetwork Watcher: $($r.TotalWatchers) enabled"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Network Watchers: $($r.TotalWatchers)" -ForegroundColor $(if ($r.TotalWatchers -gt 0) { 'Green' } else { 'Yellow' })
Write-Host "Azure Locations: $($r.TotalLocations)" -ForegroundColor White
if ($r.TotalWatchers -eq 0) {
Write-Host "`n⚠️ Network Watcher moet ingeschakeld zijn" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nNetwork Watcher: $($r.TotalWatchers) enabled"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder Network Watcher zijn geen NSG Flow Logs mogelijk - kritieke blinde vlek. Compliance: CIS 6.6, BIO 12.04, NIS2. Het risico is hoog.
Management Samenvatting
Alternatieve verificatie voor Network Watcher. Zie logging-monitoring/network-watcher-enabled-all-regions.json voor volledige implementatie per regio. Vereiste voor NSG Flow Logs. Verplicht volgens CIS 6.6.
- Implementatietijd: 0 uur
- FTE required: 0.1 FTE