Account voor noodtoegang gebruikt [RULE-1129]
Deze regel detecteert wanneer iemand inlogt met een emergency access (break-glass) account. Emergency access accounts zijn accounts met hoge privileges die uitsluitend bedoeld zijn voor scenario's waarin normale administrator accounts niet kunnen worden gebruikt, zoals tijdens een grote storing of wanneer alle andere administrators zijn buitengesloten.
Rationale
Emergency access accounts zijn ontworpen als laatste redmiddel. Ze hebben doorgaans Global Administrator privileges, zijn uitgesloten van conditional access policies en MFA-vereisten, en maken vaak gebruik van lange, complexe wachtwoorden die op een beveiligde fysieke locatie worden bewaard. Vanwege hun verhoogde privileges en verminderde beveiligingscontroles, rechtvaardigt elk gebruik van deze accounts onmiddellijk onderzoek.
In een legitiem scenario zou een emergency access account alleen worden gebruikt tijdens een daadwerkelijke noodsituatie, zoals een tenant lockout veroorzaakt door een verkeerd geconfigureerd conditional access policy, een uitgevallen MFA provider, of het verlies van alle andere administrator accounts. Het gebruik dient altijd vooraf gepland, gedocumenteerd en uitgevoerd te worden door een geautoriseerde IT-administrator.
Als een aanvaller echter de credentials van een emergency access account heeft verkregen -- via een gecompromitteerde password vault, fysieke diefstal of social engineering -- krijgt deze onbeperkte toegang tot de gehele tenant zonder MFA-bescherming. Dit vertegenwoordigt het zwaarst mogelijke scenario, in lijn met MITRE ATT&CK T1078.004 (Valid Accounts: Cloud Accounts), waarbij aanvallers geldige cloud credentials gebruiken om persistente toegang te behouden. Omdat emergency access accounts de meeste beveiligingscontroles omzeilen, kan compromittering van deze credentials bijzonder moeilijk te detecteren zijn via andere middelen.
Opvolging
Voer deze stappen uit om deze detectie adequaat op te volgen:
-
Neem onmiddellijk contact op met het IT-team om te verifiëren of iemand het emergency access account bewust heeft gebruikt. Controleer of er een gedocumenteerde noodsituatie of storing was die het gebruik van dit account vereiste.
-
Zo nee: Het gebruik van het emergency access account was niet geautoriseerd:
- Wijzig onmiddellijk het wachtwoord van het emergency access account en bewaar de nieuwe credentials op een beveiligde locatie.
- Bekijk alle acties die zijn uitgevoerd met het emergency access account in het Unified Audit Log op security.microsoft.com. Let op role assignments, application consent grants, wijzigingen in conditional access policies, of andere administratieve aanpassingen.
- Draai ongeautoriseerde wijzigingen terug die tijdens de sessie zijn gemaakt. Let met name op nieuwe role assignments, nieuw geregistreerde applicaties en gewijzigde security policies.
- Onderzoek hoe de credentials zijn verkregen. Controleer de toegang tot de fysieke of digitale opslaglocatie van de credentials van het emergency account. Neem contact op met Attic voor incident response ondersteuning als er aanwijzingen zijn voor een bredere compromittering.
-
Zo ja: Het emergency access account is bewust gebruikt tijdens een daadwerkelijke noodsituatie:
- Verifieer dat de acties die tijdens de sessie zijn uitgevoerd beperkt waren tot het oplossen van de noodsituatie. Controleer het audit log om te bevestigen dat er geen buitensporige of onnodige wijzigingen zijn aangebracht.
- Roteer het wachtwoord van het emergency access account als standaard procedure na gebruik en bewaar de nieuwe credentials op een beveiligde locatie. Sluit het incident af.
-