Algemeen

Deze regels alarmeren op het moment dat de MFA methodes voor een beheerder met hoge (tier0) rechten worden gewijzigd.

Rationale

Het wijzigen van MFA methodes kan prima een legitieme handeling zijn, maar het is altijd de moeite waard dit extra te valideren, zeker voor medewerkers met hoge beheerrechten.

Het kan namelijk ook een indicator zijn van hacking, aangezien het een veelgebruikte manier is voor aanvallers om toegang tot een gestolen account na initiële toegang onopgemerkt te behouden.

Deze detectie is ingericht in 2 regels, namelijk RULE-1148 en RULE-1149.

De reden dat deze detectie met meerdere regels wordt geboden, is dat de omstandigheid op verschillende manieren moet worden gedetecteerd afhankelijk van het gebruik van Privileged Identity Management (PIM) in de Microsoft Tenant.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

1. Ga na of de beheerder in kwestie de MFA methode bewust, zelf heeft gewijzigd
   
   1. Zo ja: sluit het incident als in orde
   2. Zo nee:  disable het account, trek sessies in en start een vervolgonderzoek naar het account dat de rechten heeft toegekend, mogelijk is dat gecompromitteerd.

Attic FIX

Een fix zal worden aangeboden om eenvoudig het account te disablen, nadat u heeft gevalideerd dat het kwaadaardig gedrag betreft. Voor het vervolgonderzoek kunt u contact opnemen, daarbij kan Attic ondersteunen via onze IR Strippenkaart.

Meer informatie

1. https://learn.microsoft.com/en-us/microsoft-365/admin/add-users/about-admin-roles?view=o365-worldwide