Algemeen
Deze regels alarmeren op het moment dat een gebruiker voor het eerst beheerrechten krijgt toegewezen, of wanneer het een Tier0 rol betreft met zeer hoge rechten.
Rationale
Het toewijzen van beheerrechten kan prima een legitieme handeling zijn, maar het is altijd de moeite waard dit extra te valideren. Het kan namelijk ook een indicator zijn van hacking of misbruik.
Deze detectie omvat in totaal 4 regels:
- RULE-1131 & RULE-1142 - Triggeren wanneer een user voor het eerst een beheerrol krijgt toegewezen.
- RULE-1140 & RULE-1141 - Triggeren wanneer een user een bepaalde, zogenaamde Tier0, rol krijgt toegewezen.
De reden dat deze detectie met meerdere regels wordt geboden, is dat de omstandigheid op verschillende manieren moet worden gedetecteerd afhankelijk van het gebruik van Privileged Identity Management (PIM) in de Microsoft Tenant.
Opvolging
Voer deze stappen uit om deze detectie adequaat op te volgen:
- Ga na of het klopt dat de gebruiker in kwestie de betreffende rol krijgt toegewezen
- Zo ja: sluit het incident als in orde
- Zo nee: trek de rechten in en start een vervolgonderzoek naar het account dat de rechten heeft toegekend, mogelijk is dat gecompromitteerd.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.