Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Gebruiker toegevoegd aan Tier0 rol (non-PIM) [RULE-1141]

Deze regel detecteert wanneer een gebruiker permanent wordt toegevoegd aan een Tier0 rol met zeer hoge privileges buiten Privileged Identity Management (PIM) om. Tier0 rollen omvatten rollen zoals Global Administrator, Privileged Role Administrator en Privileged Authentication Administrator, die vrijwel volledige controle geven over de Microsoft 365 omgeving. In tegenstelling tot PIM-gebaseerde toewijzingen zijn non-PIM roltoewijzingen permanent en verlopen ze niet.

Rationale

Tier0-rollen geven vrijwel volledige controle over de infrastructuur. Permanente (non-PIM) toewijzingen hiervan creëren een extreem risico, omdat deze rechten altijd actief zijn. Het is een standaard tactiek voor aanvallers (MITRE T1098 & T1078.004) om, zodra ze ergens in het netwerk beheerdersrechten bemachtigen, via deze weg een permanente 'achterdeur' in te bouwen en just-in-time (JIT) controles te omzeilen. Als een ongeautoriseerde gebruiker een permanente Tier0-rol krijgt, is je omgeving feitelijk volledig overgenomen. Dit is een kritiek alarm dat onmiddellijke verificatie vereist.

 

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Controleer of de Tier0 roltoewijzing bewust is uitgevoerd door een geautoriseerde beheerder. Verifieer bij het IT-beveiligingsteam of de beheerder die in de alert wordt vermeld of deze wijziging gepland en goedgekeurd was.

    • Zo nee: De roltoewijzing was niet geautoriseerd en kan duiden op een gecompromitteerd account:

      1. Verwijder de gebruiker onmiddellijk uit de Tier0 rol via het Entra admin center onder Identity > Roles & admins.
      2. Blokkeer de aanmelding voor zowel de gebruiker die de rol heeft gekregen als het beheerdersaccount dat de toewijzing heeft uitgevoerd, en trek alle actieve sessies in.
      3. Onderzoek de authentication methods en recente activiteit van beide accounts om de omvang van de compromittering vast te stellen.
      4. Neem contact op met het Attic IR team voor een grondig onderzoek. Hiervoor is een IR Credit Pack vereist.

    • Zo ja: De roltoewijzing is bewust uitgevoerd:

      1. Evalueer of de toewijzing omgezet dient te worden naar een PIM eligible assignment in plaats van een permanente rol. Permanente Tier0 toegang dient beperkt te zijn tot break-glass accounts.
      2. Indien de permanente toewijzing gerechtvaardigd is en in overeenstemming met het beleid: sluit het incident af.

Meer informatie