Beheerder startte SSPR [RULE-1159/rule-1160]
Deze regels (RULE-1159 en RULE-1160) detecteren wanneer een beheerder met hoge rechten (tier0) een self-service password reset (SSPR) operatie start. RULE-1159 monitort permanente beheerders, terwijl RULE-1160 ook gebruikers monitort die via Privileged Identity Management (PIM) beheerdersrechten kunnen activeren.
Rationale
Self-service password reset is een legitieme functie die gebruikers in staat stelt hun eigen wachtwoord te resetten zonder hulp van de helpdesk. Het is op zich normaal dat ook beheerders deze functie gebruiken wanneer ze hun wachtwoord vergeten zijn of om andere redenen hun wachtwoord moeten resetten. Echter, voor beheerders met hoge rechten (tier0) is extra aandacht geboden omdat een gecompromitteerd tier0 account kan leiden tot volledige compromittering van de organisatie.
Fix
Een fix zal worden aangeboden om het beheerderaccount te disablen, nadat u heeft gevalideerd dat dit kwaadaardig gedrag betreft. Voor het vervolgonderzoek kunt u contact opnemen, daarbij kan Attic ondersteunen via onze IR Strippenkaart.
Verschil tussen RULE-1159 en RULE-1160
Deze detectie bestaat uit twee regels vanwege verschillende admin configuraties:
- RULE-1159: Monitort permanente beheerders - gebruikers die permanent beheerdersrollen toegewezen hebben gekregen (CHK1105_admins lijst)
- RULE-1160: Monitort PIM-eligible beheerders - gebruikers die via Privileged Identity Management beheerdersrollen kunnen activeren wanneer nodig (CHK1106_pimadmins lijst). Deze regel vereist Azure AD Premium P1 of P2.
De reden voor twee regels is dat organisaties verschillende admin modellen kunnen hanteren. Sommige hebben permanente admins, andere gebruiken alleen PIM, en weer andere hebben een mix. Door beide te monitoren, wordt volledige dekking bereikt ongeacht het gekozen model.