Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Gast toegevoegd aan rol met hoge privileges [RULE-1123]

Deze regel detecteert wanneer een externe (gast)gebruiker wordt toegevoegd aan een rol met hoge privileges in Microsoft Entra ID. Rollen met hoge privileges omvatten onder andere Global Administrator, Exchange Administrator, SharePoint Administrator, Security Administrator en andere rollen die brede administratieve toegang verlenen tot de tenant.

Rationale

Gastaccounts in Microsoft Entra ID zijn bedoeld voor beperkte samenwerking met externe partners, leveranciers of opdrachtnemers. Wanneer een gastaccount wordt toegewezen aan een rol met hoge privileges, krijgt het administratieve controle over tenant-resources -- een configuratie die uiterst zeldzaam zou moeten zijn en zorgvuldig gecontroleerd dient te worden.

Aanvallers die een administrator account hebben gecompromitteerd, voegen regelmatig externe accounts toe aan privileged roles als persistence mechanisme. Door hoge privileges toe te kennen aan een gastaccount dat zij beheren, behoudt de aanvaller toegang tot de tenant, zelfs als het oorspronkelijk gecompromitteerde account wordt ontdekt en hersteld. Deze techniek sluit aan bij MITRE ATT&CK T1098 (Account Manipulation) en T1078 (Valid Accounts), waarbij aanvallers accountpermissies wijzigen of geldige credentials gebruiken om toegang te behouden.

Omdat gastaccounts vaak minder streng worden gecontroleerd dan interne accounts, kan deze vorm van privilege escalation langere tijd onopgemerkt blijven. Het tijdig detecteren van deze activiteit is cruciaal om ongeautoriseerde administratieve toegang en mogelijke data exfiltration te voorkomen.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Verifieer bij de administrator die in de alert wordt genoemd of deze bewust de gastgebruiker aan de rol met hoge privileges heeft toegevoegd. Controleer of het tijdstip van de roltoewijzing overeenkomt met bekende wijzigingsverzoeken of projecten.

    • Zo nee: De roltoewijzing was niet geautoriseerd en kan wijzen op een gecompromitteerd administrator account:

      1. Verwijder de gastgebruiker onmiddellijk uit de rol met hoge privileges via het Entra admin center onder Roles and administrators.
      2. Disable of blokkeer het gastaccount om verdere toegang te voorkomen.
      3. Onderzoek het administrator account dat de toewijzing heeft uitgevoerd: bekijk de sign-in logs op verdachte activiteit, revoke actieve sessies en reset de credentials.
      4. Bekijk het Unified Audit Log op security.microsoft.com voor aanvullende acties uitgevoerd door het gastaccount of de gecompromitteerde administrator. Neem contact op met Attic voor incident response ondersteuning als de omvang van de compromittering onduidelijk is.

    • Zo ja: De roltoewijzing was bewust uitgevoerd:

      1. Verifieer of het toekennen van hoge privileges aan een gastaccount in lijn is met het beveiligingsbeleid van uw organisatie. Best practice is om geen administratieve rollen toe te kennen aan externe gebruikers.
      2. Als de toewijzing acceptabel en gedocumenteerd is: sluit het incident af. Overweeg om tijdgebonden roltoewijzingen via Privileged Identity Management (PIM) in te zetten voor toekomstige gevallen.

Meer informatie