Microsoft is begonnen met uitbreiden van gratis logging voor zakelijke klanten

Microsoft heeft cloudlogging beschikbaar gemaakt voor alle zakelijke klanten. Het bedrijf verhoogt ook de maximale bewaartermijn naar 180 dagen. Microsoft beloofde dat eerder nadat bleek dat Chinese staatshackers bedrijven aanvielen, wat die bedrijven niet makkelijk konden ontdekken.

Microsoft zegt dat het cloudlogs voortaan standaard beschikbaar maakt voor alle zakelijke klanten, ongeacht hun abonnement. Dat gebeurt via Purview Audit, dat klanten met een Microsoft 365 Enterprise-pakket voorheen nog altijd apart moesten afsluiten. Nu kunnen alle zakelijke klanten Purview Audit gebruiken om gedetailleerdere logs in te zien, die ook in de cloud kunnen worden bewaard.

Microsoft heeft ook de standaard bewaartermijn verhoogd. Die gaat van 90 dagen naar 180 dagen. Purview Audit is nu opgesplitst in een gratis en een nieuw betaald pakket. Het betaalde pakket, Premium, is beschikbaar voor E5- en G5-klanten en bevat extra analyses en een api om het in Office 365 te integreren. De bewaartermijn kan daarbij ook naar tien jaar worden opgehoogd.

De stap komt niet helemaal vanuit Microsoft zelf, maar is min of meer afgedwongen door Amerikaanse overheidsinstellingen. Onder andere het Cybersecurity and Infrastructure Security Agency en de Office of the National Cyber Director 'werkten mee' aan het beschikbaar maken van die logs, schrijft het CISA. De nieuwe logmogelijkheden zijn daardoor onder meer beschikbaar voor Amerikaanse overheidsinstellingen, wat het CISA graag wilde.

Microsoft zei vorig jaar in de zomer al dat het cloudlogs gratis beschikbaar zou stellen met behulp van het CISA. Dat zou 'in de maanden daarna gebeuren'. Nu is die stap ook echt gezet. Microsoft besloot daartoe nadat eerder dat jaar bleek dat Chinese staatshackers de inboxen van Microsoft-klanten hadden geïnfiltreerd. Er ontstond ophef, onder andere bij het CISA, toen bleek dat de bedrijven geen toegang hadden tot adequate logs om die hack op te sporen omdat ze daar niet voor betaalden.

Reacties (37)

amarissimo 23 februari 2024 10:06

Maar wat wordt er dan precies gelogd?

Llopigat

Microsoft
Beveiliging en antivirus

@amarissimo • 23 februari 2024 10:15

Audits, logins, loginpogingen, wie welke file heeft geopend enz.

Purview kan veel meer trouwens maar de rest is niet gratis. Je kan het bijvoorbeeld ook gebruiken om mensen hun data te exporteren of te bevriezen. Soms moet dit bij rechtszaken ter documentatie (zodat je er niet meer aan kan rommelen). Ook wel een Legal Hold genoemd. Je kan ook zoeken naar mensen die bijvoorbeeld creditcard gegevens openen zonder dat ze dat nodig hebben voor hun functie (Data Loss Prevention).

[Reactie gewijzigd door Llopigat op 23 juli 2024 09:30]

amarissimo @Llopigat • 23 februari 2024 10:30

Gaat een werkgever dit toepassen om werknemers makkelijker te monitoren vraag ik me af. Is dat een neveneffect of een feature.

loewie1984 @amarissimo • 23 februari 2024 10:40

Als je dat wil kan dat nu al hoor.

Als je MS365 gebruikt kun je nagenoeg iedere keer dat jij je computer opstart en gebruik maakt van een dienst van microsoft zien hoe laat je bent begonnen. Teams start bijv. bij veel computers automatisch op. Wat er gebeurt is dus een authenticatie tussen de applicatie en je Microsoft Tenant. Zo kun je prima achterhalen of een (thuis) medewerker om half 9 is begonnen of half 10.

Dus dat is niets nieuws. Dit gaat meer over het detecteren van threat actors. Sowieso doen organisaties er goed aan zaken met conditional access dicht te timmeren. Als je geen medewerkers in China of Rusland hebt werken en er ook geen medewerkers naar die landen op vakantie zijn kun je inlogpogingen uit die landen per definitie al blokkeren. Of je draait het om en kiest alleen veilige landen en locaties.

BytePhantomX @loewie1984 • 23 februari 2024 11:10

Dit gaat meer over het detecteren van threat actors.

Dat is het dus wat mij betreft niet. Je kunt namelijk geen alerts of monitoring doen op basis van deze audit logs. Het is meer in de catagorie dat je indicaties hebt dat een threat actor binnen zit en je dan kan onderzoeken wat die threat actor mogelijk gedaan heeft. Heel praktisch, je hebt een account compromise, dan kun je de audit logs gebruiken om te zien welke mails de threat actor heeft geopend.

Deze (en andere data) gebruiken om je medewerkers te monitoren is een dikke no-go, tenzij je dat vooraf duidelijke communiceert en dan nog zijn er beperkingen. T.a.v. de GDPR heeft de Working Party een artikel gepubliceerd dat daar duidelijke richtlijnen met meegeeft: https://www.huntonprivacy...-data-processing-at-work/
En volgens mij is er ook genoeg jurisprudentie rondom het volgen van medewerkers en hoe je daar mee om moet gaan als je daar consequenties aan wil kunnen verbinden.

Maar wat wel terecht gezegd wordt, als je gebruik maakt van Microsoft 365 en helemaal als er Defender for Endpoint en vergelijkbare tools worden ingezet, dan is er weinig niet zichtbaar. En niet veel mensen beseffen dat.

OruBLMsFrl @BytePhantomX • 23 februari 2024 12:42

Tegelijk is er een heel groot zakelijk belang bij Cybersecurity, onderschat dat niet. Zeker met straks veel meer bedrijven die vallen onder cybersecurity wetgeving in de vorm van NIS2. Die zijn laakbaar, zelfs fors beboetbaar, wanneer ze zulke auditing logs niet bij zouden houden.

Traditioneel waren dat al prevalerende argumenten in takken als defensie en veiligheid, energieopwekking en bij bedrijven als ASML waar bedrijfsspionage aantoonbaar risico was. Nu verplicht de EU en laat dit jaar de nationaal doorvertaalde wetgeving dat heel veel meer bedrijfstakken ook te doen. Nog niet bijvoorbeeld een grafisch ontwerpbureau, uitgeverij of de zelfstandige eenmanszaak bakkerij op de hoek, maar wel alle grotere bedrijven in de hele lijst bedrijfssectoren hieronder met meer dan € 10M jaaromzet, en dat zijn er stevig veel.

digitale aanbieders
post- en koeriersdiensten
afvalstoffenbeheer
levensmiddelen
chemische stoffen
onderzoek
vervaardiging / productie
https://ondernemersplein....cyberbeveiligingsrisicos/

Al helemaal als je bedenkt dat onmisbare toeleveranciers van die bedrijven, op hun beurt ook zullen moeten meedoen, omdat als zij omvallen door een cyberincident, het gereguleerde klant bedrijf dat onder NIS2 valt alsnog een probleem heeft. En daar vallen in de NIS2 zowel toeleveranciers van goederen/grondstoffen onder als dienstverleners. Kan dus zomaar, dat heel veel bedrijven hiermee plots zelfs een wettelijke basis als verwerkingsgrond hebben om die gegevens bij te houden, nog los van dat bedrijfscontinuïteit van ict systemen voor de meerderheid van de bedrijven van zichzelf al een gerechtvaardigd belang is ook als ze buiten NIS2 en buiten NIS2 toeleverancier definities vallen.

Grote nuance is dan, al die audit gegevens en meer mag je verwerken en op reageren voor cybersecurity doeleinden, echter diezelfde gegevens mag je niet verwerken om medewerkers hun werktijden te volgen vanuit een HR / management prestatie beoordeling.

[Reactie gewijzigd door OruBLMsFrl op 23 juli 2024 09:30]

Llopigat

Microsoft
Beveiliging en antivirus

@loewie1984 • 23 februari 2024 11:00

Zo kun je prima achterhalen of een (thuis) medewerker om half 9 is begonnen of half 10.

Ja maar je mag het hier niet voor gebruiken in de meeste EU landen.

willieverhoef @Llopigat • 23 februari 2024 11:05

Weet niet of het niet mag, denk meer dat het daar niet voor bedoeld is, en je het dus niet gemeldt het aan de medewerker en dus niet gebruikt kan worden. (hij kan dan gewoon zeggen is start team niet automatisch op)
Wel denk ik in het geval van thuis werken dat er wel de behoeft is aan een soort controle. En dan niet over tijden, toestaanslagen, welke programma's worden gebruikt, maar meer in, bij hoevel meetigs was je, en hoeveel andere tijd had je nog over. Geen wonder dat je zo weinig doet :-)

david-v

@willieverhoef • 23 februari 2024 11:36

Wel denk ik in het geval van thuis werken dat er wel de behoeft is aan een soort controle. En dan niet over tijden, toestaanslagen, welke programma's worden gebruikt, maar meer in, bij hoevel meetigs was je, en hoeveel andere tijd had je nog over. Geen wonder dat je zo weinig doet :-)

Bij een dergelijke werkgever zou ik niet willen werken. Dit klinkt weer als de ouderwetse in en uitklok machines van vroeger. Alsof het aantal meetings die je volgt een aanwijzing is van hoe hard/langzaam je werkt.

joost00719 @willieverhoef • 23 februari 2024 11:43

Daarvoor is het ook niet bedoeld. Je werkgever kan in je werk-agenda kijken, en dat is voldoende.

Hen3s

@joost00719 • 23 februari 2024 16:45

Nee hoor, dat zijn niet dingen die een werkgever zo maar mag….
Hier moet duidelijk over worden gecommuniceerd. En heb je een groter bedrijf, dan moet zoiets ook nog worden goedgekeurd door een OR.
Maar dit geldt voor ELKE digitale tool die bij kan houden ‘hoeveel je doet’.

joost00719 @Hen3s • 23 februari 2024 22:23

Volgens mij is het over het algemeen wel bekend dat er in agenda's gekeken wordt. Ik kan ook in de agenda's van mijn collega's kijken, zodat ik een meeting kan plannen wanneer zij daadwerkelijk tijd hebben.

Hen3s

@joost00719 • 24 februari 2024 11:46

Wat ‘bekend’ is of wat de privacy wet zegt, daar zit regelmatig een heel groot verschil in.
Voorbeeld; veel bedrijven hebben een algemene agenda (soms nog op papier) met alle verjaardagen erop. Zonder dat medewerker s toestemming hebben gegeven.
Dit is schending van de privacy….

Dit kunnen bedrijven allemaal vastleggen; maar gebeurd zelden.

Cergorach

Beveiliging en antivirus

@loewie1984 • 23 februari 2024 11:02

Je ziet bv. ook in de Defender portal per device, wie hoe laat welke site heeft benaderd op dat device. Dit zit natuurlijk achter bepaalde admin accounts, over het algemeen alleen de security and global admin rollen. Dit heb je natuurlijk nodig om als er wat gehacked wordt, je dit kan herleiden naar welke computer, via welke site, etc. Maar dan ook andersom dat je devices die ook naar die sites zijn geweest direct kan uitsluiten van je systemen, etc.

DIt misbruiken voor andere doeleinden kan natuurlijk, maar daar heb je lokale wetgeving voor. Er zijn veel 'betere' oplossingen voor dat M365 om je gebruikers in al hun activiteiten te tracken, die kan je natuurlijk ook gewoon remote installeren op een bedrijfscomputer via Intune (of whatever beheertool je gebruikt).

M365 gebruiken als gebruiker tracking is hetzelfde als GPS navigatie gebruiken om een gebruiker te volgen. Onhandig, omslachtig, niet waar het voor bedoeld is en er zijn veel betere oplossingen.

Waar dit juist voor gebruikt wordt is om historisch te kunnen achterhalen (langer dan 30 dagen terug) om bv. te zien wie dan exact zichzelf meer security rechten heeft gegeven om die gegevens in te zien.

downtime @amarissimo • 23 februari 2024 13:12

Beide. In de VS kan een werkgever heel ver gaan in het monitoren van zijn personeel, tot aan het filmen, monitoren van toetsaanslagen en het lezen van je mails toe, en kun je als softwarebedrijf dus ook goed geld verdienen met dit soort features. In Nederland vinden we het monitoren van personeel minder vanzelfsprekend en zijn zulke gegevens meer bijvangst waar een goede werkgever verder ook niets mee doet. Maar helaas heeft niet iedereen een goede werkgever.

Terrestrial @Llopigat • 23 februari 2024 10:35

Maar dit kun je in windows client zelf ook al instellen middels een policy, maar ik vermoed dat dit dan geregeld kan worden in een centrale interface waar de logs worden verzameld van alle clients te samen en jij er op kunt zoeken, sorteren, regels kunt maken etc.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Llopigat • 23 februari 2024 19:52

Je kan ook zoeken naar mensen die bijvoorbeeld creditcard gegevens openen zonder dat ze dat nodig hebben voor hun functie (Data Loss Prevention).

Feitelijk is dat geen Data Loss Prevention. Je voorkomt met log controles namelijk niets behalve dat er wellicht een afschrikwekkende functie van uitgaat.

bdefour @amarissimo • 23 februari 2024 10:17

Learn about auditing solutions in Microsoft Purview
https://learn.microsoft.c.../audit-solutions-overview

You can search for a wide-range of audited activities that occur is most of the Microsoft 365 services in your organization. For a list of the activities you can search for, see Audit log activities. For a list of the services and features that support audited activities, see Audit log record type.

Audit log activities
https://learn.microsoft.c...view/audit-log-activities

Audit log record type.
https://learn.microsoft.c...schema#auditlogrecordtype

laurens0619 23 februari 2024 12:17

Is dit nu voor Audit logging alleen of ook voor Advanced Hunting data Defender XDR?

Als het doel is staatshackers opsporen dan zou ik verwachten dat de advanced hunting data ook opgeschroefd zou worden. Die retentie is standaard namelijk, slechts, 30 dagen

satya 23 februari 2024 12:31

Die 180 dagen is in sommige gevallen al tekort, binnen de Amerikaanse overheid en alles wat daarmee verbonden is is dit al verhoogd naar een heel jaar nadat de sporen van ransomware bij een politie buro verder dan 180 dagen terug gingen.

Vanuit de EU kan een dergelijke termijn ook verwacht worden. Met Wazuh kan dit ook prima en de hoeveelheid data valt mee. Ook Sentinel verzameld allerlei data van je systeem en dat is best erg veel.

kodak

Beveiliging en antivirus

@satya • 23 februari 2024 12:51

Het zou me verbazen als 180 dagen in de meeste gevallen genoeg is. Want als er een probleem is, dan lijkt het me dat er langere tijd teruggekeken moet kunnen worden. Bijvoorbeeld om te zien of het zich eerder voorgedaan heeft maar niet ontdekt was. Als dat terugkijken maar enkele maanden kan, nog naast het probleem dat het onderzoek al laat gestart kan worden, dan lijkt men het niet heel serieus te nemen. Financiële administratie bewaren we ook niet zomaar meerdere jaren. Stabiele bedrijfsvoering gaat over meerdere jaren. Zelfs de basis van verantwoording gaat in jaarverslagen verder dan het jaar. De 90 dagen die slechts 180 dagen worden lijkt dus eerder een compromis om als Microsoft niet te veel geld kwijt te zijn en poging verantwoording te blijven beperken.

Floort

23 februari 2024 10:12

Welke onderdelen van de E3 licentie zijn gratis en welke betaald?

beerse @Floort • 23 februari 2024 10:45

Als je bij microsoft als non-profit binnen komt, bijvoorbeeld als stichting of zo iets, dan is er best veel zonder financiële bijdrage te verkrijgen: https://www.microsoft.com/nl-nl/microsoft-365/nonprofit

Maar of dat zo gratis is als je stelt is maar net hoe je er naar kijkt. Het spreekwoord is immers: Voor niets gaat de zon op. Als is ook daar een antwoord op: De zon komt zinloos op, vanavond gaat ze toch weer onder... (maar misschien dwaal ik hier een beetje van het onderwerp af...)

Floort

@beerse • 23 februari 2024 10:50

Mijn opmerking was bedoeld om aan te geven dat dit een (goede/noodzakelijke) uitbreiding is van betaalde dienstverlening. Je betaald over het algemeen gewoon voor een E3 licentie waarbij updates onderdeel van het pakket zijn.

Cergorach

Beveiliging en antivirus

@Floort • 23 februari 2024 11:11

E3 is per user bedrag x, maar logging is niet per user, dat is/was per x hoeveelheid (Azure) storage. In bepaalde Azure abonnementen zit bv. X amount of logging per server voor servers, want daar betaal je per server.

De reden dat MS dit nu zo doet komt waarschijnlijk omdat veel gebruikers/organisaties hier pas achter komen wanneer ze het daadwerkelijk nodig hebben en het dan al te laat is. Veel van die kosten zijn ook zeer moeilijk exact te voorspellen, waardoor adoptie extra lastig is. Voor MS wordt storage per GB natuurlijk elk jaar goedkoper. Ik vermoed dat dit ook gedeeltelijk wordt gecompenseerd met een sterke reductie in support en verkoop verzoeken, waardoor MS indirect ook weer kosten bespaart.

Kobject @Floort • 23 februari 2024 10:26

https://m365maps.com/files/Microsoft-365-E3.htm

Floort

@Kobject • 23 februari 2024 10:41

Volgens mij mis je mijn punt. Ik zie geen gratis onderdelen.

Blokker_1999

Microsoft
Beveiliging en antivirus

@Floort • 23 februari 2024 13:16

Een E3 licentie is nooit gratis. Je krijgt er nu bijkomende functionaliteit gratis bij die voorheen betalend was.

Seth_Chaos @Floort • 23 februari 2024 10:48

Waarom zouden er gratis onderdelen moeten zijn?

OLED 23 februari 2024 11:05

Deze bedrijven doen nooit iets “gratis”, het is dus belangrijk om goed de voorwaarden te lezen, en kijken of de ‘gratis dienst’ in verhouding staat tot de data die je weggeeft.

Cergorach

Beveiliging en antivirus

@OLED • 23 februari 2024 12:22

*zucht*
Het is natuurlijk zeker belangrijk dat je altijd de voorwaarden doorleest, maar dit is 'gratis' bij een betaalde zakelijke dienst. Dat wordt is dus niet een equivalent van bv. een gratis Hotmail/Gmail dienst. Ja, MS is dataverwerker voor al je data, nee dat wordt voor dit zakelijke gebruik niet doorverkocht aan advertentiebedrijven.

Wanneer leren tweakers nu eens dat consumenten voorwaarden != zakelijke voorwaarden, anders zou geen enkel bedrijf de diensten van MS (of Google) afnemen .

OLED @Cergorach • 23 februari 2024 15:31

Ik begrijp jouw aanname en ik dacht ook dat als je Google betaalt dat je dan de klant wordt maar dit is helaas niet zo. Wat Microsoft betreft er staat letterlijk dat ze er AIs mee kunnen trainen haha

“Onze verwerking van persoonsgegevens voor deze doeleinden omvat zowel geautomatiseerde als handmatige (menselijke) verwerkingsmethoden. Onze geautomatiseerde methoden zijn vaak gerelateerd aan en ondersteund door onze handmatige methoden. Als we bijvoorbeeld de nauwkeurigheid van onze geautomatiseerde verwerkingsmethoden (inclusief kunstmatige intelligentie of AI) willen bouwen, trainen en verbeteren, bekijken we handmatig enkele van de voorspellingen en deducties die door de geautomatiseerde methoden worden geproduceerd op basis van de onderliggende gegevens waaruit de voorspellingen en de deducties zijn gemaakt“

Bron: https://privacy.microsoft.com/nl-nl/privacystatement

GeroldM @Cergorach • 24 februari 2024 06:51

Afgelopen Dinsdag nog meefemaakt, ik beantwoorde een vraag van een collega over hoe hij zijn bedlamp kan automatiseren. Eigenlijk was de vraag of ik ooit gehoord had over slimme schakelaars die in de kabel tussen stopconcant en lampvoet zijn geplaatst door de fabrikant.

Dat had ik dus niet, leek me ook onlogisch. Suggereerde om de schakelaar uit de kabel te halen, een slimme schakelaar direct in het stopcontact te plaates en daar dan de kabel van de lamp van prik te voorzien.

Nog geen 15 minuten later kreeg de collega reclames te zien van slimme schakelaars en hij was alleen ingelogd via Microsoft/Teams.

Nu begrijp ik dat mensen het Microsoft van nu graag op een voetstuk plaatst. Zelf denk ik echter dat Microsoft maar al te graag jouw online gedrag ten gelde maakt. Op wat voor (niet-)slinkse manier dan ook. Tenslotte, als er al een boete voor komt, is de verwachting dat die boete lager uitvalt dan de te behalen winsten (financiele projectie), waarom zou Microsoft dat geld dan laten liggen? Omdat ze niet het Microsoft van vroeger meer zijn? Omdat ze jou zo aardig vinden als klant? Een contract dat je met hen aangaat?

Mixrosoft's lust voor meer is onder de nieuwe koers echt niet verminderd. Voor jou tien andere klanten. Ook al denk je een grote klant te zijn, voor Microsoft ben je dat uiteindelijk niet. Aardig vinden ze je ook niet. Je wordt getolereerd, zolang je met geld over de brug komt. Verwacht echt niks meer van Microsoft. En contracten...waarom denk je dat er zoveel legalees in hun contracten staat? Omdat zij daarmee eenzijdig de voorwaarden aan kunnen passen op een tijdstip dat hen goed uitkomt. Dat kun je de rechtbank wel aan proberen te vechten, maar zij hebben betere advocaten in dienst dan jij/je bedrijf kan betalen en de beschikking over een heel lange financiele adem.

Microsoft is een oude vos, die zijn streken echt niet heeft verloren, de nog niet uitgevallen haren heeft geverfd en zichzelf toch nog een modern genoeg kapsel aan heeft weten te meten.

Cergorach

Beveiliging en antivirus

@GeroldM • 24 februari 2024 13:50

En die collega zal in die 15min niet even hebben gegoogled nadat jij hem vertelde over slimme stopcontacten?

mjtdevries @OLED • 23 februari 2024 12:50

Nu kunnen NSA en CIA de logs van bedrijven bekijken die daarvoor die logging niet hadden.

Maar dat levert ze niet veel op, want in die logs staat vrijwel geen inhoudelijke data.
Je kunt in zo'n log zien dat ik in mijn mailbox de mail met ID: 34576234768324894356 heb geopend.
Daar kan je niet veel mee, want je moet vervolgens toegang tot mijn mailbox krijgen en daar dat ID zoeken om te weten over welke mail het gaat en wat de inhoud is.

Je kunt wel zoekopdrachten zien. Dus als een threat-actor de zoekterm "passwords" heeft gebruikt om te kijken of jij passwords in je mailbox hebt opgeslagen, dan is dat gelogd.
Maar de resultaten van de zoekterm zie je niet.

De kans dat zo'n zoekterm veel nuttige informatie voor spionage door de NSA en CIA oplevert is daarom ook zeer gering.

De logging is echt vooral nuttig voor de eigenaar van de mailboxen om vast te stellen hoeveel een binnen gedrongen hacker heeft kunnen zien. Welke data gecompromiteert is en welke niet.

SmokingCrop 23 februari 2024 20:08

Gaan ze Audit Logs dan ook standaard activeren?
Pakweg 95% van de tenants die wij overnemen (KMO's) hebben dit niet actief.
Veel IT'ers op dit niveau hebben geen kaas gegeten van alles wat niet standaard actief staat of via een mandatory wizard uitgevoerd moet worden (bv. SPF record vs DKIM/DMARC).

Via Compliance admin center:
https://compliance.microsoft.com/auditlogsearch
en klikken op de blauwe melding om het te activeren. Als OrganizationCustomization nog niet actief is op de tenant, zal dat ook eerst uitgevoerd worden.

Activeren via Powershell:
Install-Module -Name ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline
Enable-OrganizationCustomization
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

[Reactie gewijzigd door SmokingCrop op 23 juli 2024 09:30]

dimdek 23 februari 2024 20:31

Dus zoals '11 september' werd gebruikt als excuus om oorlogen te starten zijn de Chinese staatshackers nu een excuus om iedereen extra te kunnen monitoren. De Amerikaanse overheid weet het altijd een mooie draai te geven om hun wil aan de man te brengen.

Op dit item kan niet meer gereageerd worden.

Microsoft is begonnen met uitbreiden van gratis logging voor zakelijke klanten

Lees meer

Reacties (37)

Sorteer op:

Weergave: