Algemeen
Dit alarm gaat af wanneer aan een gastgebruiker verhoogde beheerrechten worden toegekend. Dit komt in twee aparte rules tot uiting vanwege verschillende logs waaruit deze gebeurtenis blijkt. De situatie en opvolging is echter in beide situaties identiek.
Rationale
Gastgebruikers worden in Microsoft365 snel aangemaakt, bijvoordeeld door externe partners toe te voegen aan een Teams channel. Met gastgebruikers op zich dus niet veel mis, maar het is heel ongebruikelijk dat dit soort gebruikers beheerrechten krijgen.
Maar omdat het wel mogelijk is, bestaan deze rules zodat elke keer dat die rechten worden toegekend, direct wordt onderzocht. Die roltoekenning kan alleen uitgevoerd worden door iemand met beheerrechten. Het kan erop duiden dat het beheeraccount waarmee de wijziging is uitgevoerd, gecompromitteerd is.
Opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen:
- Neem telefonisch contact op met de beheerder die de wijziging heeft uitgevoerd om te valideren dat de rechten bewust zijn toegekend.
-
-
Zo nee: beschouw het beheerdersaccount als gecompromitteerd:
- Reset het wachtwoord van de beheerder
- Trek alle ingelogde sessies in van de beheerder (revoke sessions)
- Verwijder de verhoogde rechten bij het gastaccount, of verwijder het bewuste account volledig
- Overweeg een Attic Tier2 onderzoek uit te laten voeren om meer te weten te komen over de aanval (wie, wat, wanneer, waar, waarom, hoe?). Dit wordt zeker geadviseerd aangezien de uitvoerende gebruiker beheerrechten heeft.
-
Zo ja: beoordeel of het doel van de verhoogde rechten strijdig is met bedrijfsbeleid.
- Zo ja: verwijder de verhoogde rechten en geef uitleg aan medewerker(s)
- Zo nee: sluit het Attic incident af als in orde
-
Zo nee: beschouw het beheerdersaccount als gecompromitteerd:
Meer informatie
n.v.t.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.