Externe Gebruiker toegevoegd aan Beheerdersrol buiten PIM [RULE-1161]
Deze regel detecteert wanneer een externe gebruiker (gastgebruiker) wordt toegevoegd aan een rol met hoge beheerdersrechten, buiten Privileged Identity Management (PIM) om. Dit alarm triggert specifiek wanneer uw organisatie PIM gebruikt, maar iemand de beheerdersrol toewijst zonder via het PIM proces te gaan.
Rationale
Privileged Identity Management (PIM) is een beveiligingscontrolemechanisme dat organisaties helpt om beheerdersrechten te beheren, monitoren en auditen. Wanneer PIM is ingericht, is de verwachting dat alle beheerdersrechten via PIM worden toegekend - met goedkeuringsprocessen, tijdelijke toekenningen en extra monitoring. Het toekennen van beheerdersrechten buiten PIM om ondermijnt deze controles.
Deze detectie is vooral kritiek omdat het twee red flags combineert: (1) beheerdersrechten buiten het PIM proces, en (2) toekenning aan een extern account. Dit patroon is sterk indicatief voor kwaadaardig gedrag of op zijn minst een ernstige afwijking van beveiligingsbeleid die onmiddellijke aandacht vereist.
Fix
Een fix zal worden aangeboden om de beheerdersrechten van de externe gebruiker te verwijderen, nadat u heeft gevalideerd dat dit kwaadaardig gedrag betreft of niet volgens beleid is. Voor het vervolgonderzoek kunt u contact opnemen, daarbij kan Attic ondersteunen via onze IR Strippenkaart.