Algemeen
Deze regel detecteert wanneer een externe gebruiker (gastgebruiker) wordt toegevoegd aan een rol met hoge beheerdersrechten, buiten Privileged Identity Management (PIM) om. Dit alarm triggert specifiek wanneer uw organisatie PIM gebruikt, maar iemand de beheerdersrol toewijst zonder via het PIM proces te gaan.
Rationale
Privileged Identity Management (PIM) is een beveiligingscontrolemechanisme dat organisaties helpt om beheerdersrechten te beheren, monitoren en auditen. Wanneer PIM is ingericht, is de verwachting dat alle beheerdersrechten via PIM worden toegekend - met goedkeuringsprocessen, tijdelijke toekenningen en extra monitoring. Het toekennen van beheerdersrechten buiten PIM om ondermijnt deze controles.
Het toekennen van beheerdersrechten aan externe gebruikers (gastgebruikers met bijvoorbeeld @hotmail.com, @gmail.com of @live.com e-mailadressen) is extra risicovol. Deze accounts zijn niet onder beheer van uw organisatie, hebben mogelijk zwakkere beveiligingsinstellingen, en kunnen worden gebruikt door aanvallers als persistentiemechanisme. Wanneer een aanvaller toegang heeft gekregen tot een beheerderaccount, kan deze een externe gastgebruiker aanmaken of gebruiken en deze hoge rechten geven - zo kan de aanvaller toegang behouden zelfs als het oorspronkelijke gecompromitteerde account wordt opgeschoond.
Deze detectie is vooral kritiek omdat het twee red flags combineert: (1) beheerdersrechten buiten het PIM proces, en (2) toekenning aan een extern account. Dit patroon is sterk indicatief voor kwaadaardig gedrag of op zijn minst een ernstige afwijking van beveiligingsbeleid die onmiddellijke aandacht vereist.
Opvolging
Voer deze stappen uit om deze detectie adequaat op te volgen:
- Neem onmiddellijk contact op met de beheerder die de rechten heeft toegekend om te valideren of dit een bewuste en geautoriseerde actie was.
-
Zo nee: beschouw het beheerderaccount als gecompromitteerd en voer onmiddellijke containment uit:
- Verwijder direct alle beheerdersrechten van de externe gebruiker
- Disable de externe gebruiker in Entra ID
- Disable het beheerderaccount dat de rechten heeft toegekend (mogelijk gecompromitteerd)
- Trek alle actieve sessies in van beide accounts (revoke sessions)
- Reset het wachtwoord van het beheerderaccount
- Onderzoek alle activiteiten van beide accounts sinds de rechten toekenning:
- Welke andere gebruikers of groepen zijn aangemaakt of gewijzigd?
- Zijn er nieuwe applicatie registraties of service principals aangemaakt?
- Zijn er wijzigingen in Conditional Access policies of MFA instellingen?
- Is er data geëxporteerd of gedeeld met externe partijen?
- Zijn er nieuwe Azure resources aangemaakt?
- Zijn er wijzigingen in audit logging of security monitoring instellingen?
- Controleer of er andere externe gebruikers zijn met beheerdersrechten die recent zijn toegevoegd
-
Zo nee: beschouw het beheerderaccount als gecompromitteerd en voer onmiddellijke containment uit:
Attic FIX
Een fix zal worden aangeboden om de beheerdersrechten van de externe gebruiker te verwijderen, nadat u heeft gevalideerd dat dit kwaadaardig gedrag betreft of niet volgens beleid is. Voor het vervolgonderzoek kunt u contact opnemen, daarbij kan Attic ondersteunen via onze IR Strippenkaart.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.