Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Gast in aanmerking gebracht voor PIM-beheerrol [RULE-1152]

Deze regel detecteert wanneer een gastgebruiker (extern) in aanmerking wordt gebracht voor een PIM-beheerrol binnen uw Microsoft Entra ID omgeving. Dit betekent dat een account van buiten uw organisatie de mogelijkheid heeft gekregen om high-privilege administratieve rollen te activeren via Privileged Identity Management.

Rationale

Gastaccounts in Microsoft Entra ID vertegenwoordigen gebruikers van externe organisaties of persoonlijke accounts die zijn uitgenodigd in uw tenant. Hoewel gasttoegang een legitieme samenwerkingsfunctie is, is het toekennen van PIM-beheerrol eligibility aan een gastgebruiker een uiterst risicovolle actie die zelden, of nooit, in een productieomgeving zou moeten voorkomen.

Aanvallers die een privileged account compromitteren, proberen vaak persistentiemechanismen te creeren die moeilijk te detecteren zijn. Het in aanmerking brengen van een extern gastaccount voor een PIM admin role is een bijzonder stealthy techniek, omdat gastaccounts mogelijk niet onderworpen zijn aan dezelfde monitoring en access reviews als interne accounts. Het externe account bevindt zich in een andere tenant, waardoor de aanvaller een toegangspunt heeft dat niet kan worden verholpen door alleen binnen de gecompromitteerde tenant wachtwoorden te resetten of inloggegevens in te trekken. Deze techniek valt onder MITRE ATT&CK T1098.001 (Account Manipulation: Additional Cloud Credentials) en T1078.004 (Valid Accounts: Cloud Accounts).

De combinatie van een externe identiteit en PIM eligibility is zeer verdacht. Zelfs in scenario's waarin externe consultants administratieve toegang nodig hebben, is de best practice om een specifiek intern account aan te maken in plaats van admin privileges toe te kennen aan een gastidentiteit. Elke gast PIM eligibility dient als een alert met hoge ernst te worden behandeld die onmiddellijk onderzoek vereist.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Controleer of de PIM eligibility toewijzing voor de gastgebruiker bewust is uitgevoerd door een geautoriseerde beheerder. Verifieer bij het IT-beveiligingsteam of er een bewuste beslissing is genomen om een externe gebruiker administratieve toegang te verlenen.

    • Zo nee: De PIM eligibility toewijzing was niet geautoriseerd en kan duiden op een gecompromitteerd account of kwaadaardige activiteit:

      1. Verwijder onmiddellijk de PIM eligibility van de gastgebruiker via het Entra admin center onder Identity > Roles & admins > selecteer de rol > Eligible assignments.
      2. Verwijder of blokkeer het gastaccount volledig uit de tenant als het niet vereist is voor andere doeleinden.
      3. Onderzoek het beheerdersaccount dat de toewijzing heeft uitgevoerd: blokkeer de aanmelding, trek sessies in en onderzoek recente activiteit en authentication methods op indicatoren van compromittering.
      4. Neem contact op met het Attic IR team voor een grondig onderzoek om de volledige omvang van het incident vast te stellen. Hiervoor is een IR Credit Pack vereist.

    • Zo ja: De PIM eligibility toewijzing is bewust uitgevoerd:

      1. Evalueer of de externe gebruiker daadwerkelijk PIM eligibility nodig heeft, of dat een specifiek intern account geschikter zou zijn. Gastaccounts met admin roles vormen een verhoogd risico dat waar mogelijk vermeden dient te worden.
      2. Indien de gast PIM eligibility gerechtvaardigd is en goedgekeurd door het beveiligingsmanagement: sluit het incident af en zorg ervoor dat regelmatige access reviews zijn geconfigureerd voor deze toewijzing.

Meer informatie