Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Gast uitnodiging met beheerdersrol [RULE-1138]

Deze regel detecteert wanneer een externe gebruiker wordt uitgenodigd voor de tenant en tegelijkertijd een rol met hoge privileges krijgt toegewezen. In tegenstelling tot een standaard gasttoevoeging gevolgd door een afzonderlijke roltoewijzing, identificeert deze detectie specifiek uitnodigingen waarbij administratieve rechten zijn opgenomen als onderdeel van het uitnodigingsproces zelf.

Rationale

Het uitnodigen van een gastgebruiker met hoge privileges in een enkele actie is een bijzonder verdacht patroon. In normale organisatorische workflows worden externe samenwerkingspartners eerst uitgenodigd met standaard gasttoegang en pas later -- indien noodzakelijk -- voorzien van verhoogde rechten via een afzonderlijk, goedgekeurd proces. Het combineren van de uitnodiging met een roltoewijzing met hoge privileges omzeilt de gebruikelijke beoordelings- en goedkeuringsstappen.

Deze techniek wordt veelvuldig misbruikt door aanvallers die een administrator account hebben gecompromitteerd. Door een gastuitnodiging te versturen die administratieve privileges bevat, creëert de aanvaller een extern backdoor account in een enkele operatie. Het externe account staat onder controle van de aanvaller en biedt persistente toegang tot de tenant, zelfs nadat het gecompromitteerde administrator account is ontdekt en hersteld. Dit sluit aan bij MITRE ATT&CK T1136.003 (Create Account: Cloud Account) en T1098 (Account Manipulation), waarbij aanvallers accounts aanmaken of manipuleren om persistence te vestigen.

Het risico wordt vergroot doordat gastaccounts extern zijn aan de identity management processen van de organisatie. Ze zijn mogelijk niet onderworpen aan dezelfde password policies, MFA-vereisten of monitoring als interne accounts. Een extern account met administratieve privileges is daarom zowel moeilijker te detecteren als moeilijker te controleren dan een intern administratief account.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Verifieer bij de administrator die de uitnodiging heeft verzonden of dit bewust was en of er een gedocumenteerde zakelijke rechtvaardiging is voor het toekennen van hoge privileges aan een externe gebruiker als onderdeel van de uitnodiging.

    • Zo nee: De uitnodiging was niet geautoriseerd en kan wijzen op een gecompromitteerd administrator account:

      1. Verwijder de gastgebruiker onmiddellijk uit de rol met hoge privileges en trek de gastuitnodiging in via het Entra admin center.
      2. Verwijder of blokkeer het gastaccount om verdere toegang tot de tenant te voorkomen.
      3. Onderzoek het administrator account dat de uitnodiging heeft verzonden: bekijk sign-in logs, controleer op onbekende IP-adressen of locaties, revoke actieve sessies en reset de credentials.
      4. Bekijk het Unified Audit Log op security.microsoft.com voor alle acties die zijn uitgevoerd door het gastaccount tussen het moment van uitnodiging en verwijdering. Neem contact op met Attic voor incident response ondersteuning als er aanwijzingen zijn van data access of aanvullende ongeautoriseerde wijzigingen.

    • Zo ja: De uitnodiging met hoge privileges was bewust:

      1. Verifieer of het toekennen van administratieve privileges aan een externe gebruiker via een uitnodiging in lijn is met het beveiligingsbeleid van uw organisatie. Best practice raadt dit patroon sterk af -- gastgebruikers dienen geen administratieve rollen te ontvangen.
      2. Indien absoluut noodzakelijk, adviseer om de roltoewijzing te migreren naar Privileged Identity Management (PIM) met tijdgebonden toegang en goedkeuringsvereisten. Als de toewijzing acceptabel en gedocumenteerd is: sluit het incident af.

Meer informatie