Algemeen
Dit alarm gaat af als een beheerder een nieuwe GDAP relatie autoriseert.
Rationale
GDAP staat voor Granular Delegated Admin Privileges. Het doel van een GDAP relatie is om een externe beheerpartij de nodige rechten te geven in uw Microsoft 365 omgeving. Een nieuwe GDAP relatie kan dus heel goed legitiem zijn. Maar dit soort autorisaties kunnen ook misbruikt worden door aanvallers. Voor een hacker is een GDAP relatie met een tenant een manier om voor langere termijn en onopgemerkt met hoge rechten toegang te behouden.
Daarom is het raadzaam om elke nieuwe GDAP relatie nog eens extra te valideren en vandaar dit alarm.
Opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen:
- Ga bij de beheerder in kwestie na of de GDAP relatie bewust is aangegaan
- Zo nee: beschouw het beheerdersaccount als gecompromitteerd:
- Reset het wachtwoord van de beheerder
- Trek alle ingelogde sessies in van de beheerder (revoke sessions)
- Verwijder de GDAP relatie als volgt
- Login op https://admin.microsoft.com met Global Admin rechten
- Ga naar Settings, dan Partner Relationships (directe link)
- Vind de nieuwe GDAP relatie en verwijder deze door op de drie puntjes te klikken naast de naam van de relatie en vervolgens voor Remove Role te kiezen
- Overweeg een Attic Tier2 onderzoek uit te laten voeren om meer te weten te komen over de aanval (wie, wat, wanneer, waar, waarom, hoe?). Dit wordt zeker geadviseerd aangezien de uitvoerende gebruiker beheerrechten heeft.
- Zo ja: sluit het Attic incident af als in orde
- Zo nee: beschouw het beheerdersaccount als gecompromitteerd:
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.