Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Gebruiker toegevoegd aan Tier0 rol (PIM) [RULE-1140]

Deze regel detecteert wanneer een gebruiker wordt toegevoegd aan een Tier0 rol met zeer hoge privileges via Privileged Identity Management (PIM). Tier0 rollen omvatten rollen zoals Global Administrator, Privileged Role Administrator en Privileged Authentication Administrator, die vrijwel volledige controle geven over de Microsoft 365 omgeving.

Rationale

Tier0 rollen vertegenwoordigen het hoogste niveau van privileges binnen een Microsoft Entra ID omgeving. Deze rollen hebben de mogelijkheid om alle aspecten van de tenant te beheren, waaronder het wijzigen van beveiligingsconfiguraties, het beheren van andere beheerders en toegang tot alle gegevens. Vanwege hun omvang zijn Tier0 roltoewijzingen een belangrijk doelwit voor aanvallers.

Een aanvaller die een account met voldoende rechten heeft gecompromitteerd, kan een ander account -- of het eigen account -- verhogen naar een Tier0 rol om persistente controle over de omgeving te verkrijgen. Deze techniek valt onder MITRE ATT&CK T1098 (Account Manipulation) en T1078.004 (Valid Accounts: Cloud Accounts). Zelfs wanneer dit via PIM wordt uitgevoerd, wat tijdgebonden role activations biedt, rechtvaardigt een nieuwe eligible assignment voor een Tier0 rol onmiddellijk onderzoek.

Ongeautoriseerde Tier0 roltoewijzingen kunnen een aanvaller de mogelijkheid geven om beveiligingsmaatregelen uit te schakelen, gegevens te exfiltreren, backdoor accounts aan te maken en feitelijk volledig eigenaarschap van de tenant over te nemen. Vroegtijdige detectie van deze wijzigingen is essentieel om een volledige compromittering te voorkomen.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Controleer of de Tier0 roltoewijzing bewust is uitgevoerd door een geautoriseerde beheerder. Verifieer bij het IT-beveiligingsteam of de beheerder die in de alert wordt vermeld of deze wijziging gepland en goedgekeurd was.

    • Zo nee: De roltoewijzing was niet geautoriseerd en kan duiden op een gecompromitteerd account:

      1. Verwijder de gebruiker onmiddellijk uit de Tier0 rol via het Entra admin center onder Identity > Roles & admins.
      2. Blokkeer de aanmelding voor zowel de gebruiker die de rol heeft gekregen als het beheerdersaccount dat de toewijzing heeft uitgevoerd, en trek alle actieve sessies in.
      3. Onderzoek de authentication methods en recente activiteit van beide accounts om de omvang van de compromittering vast te stellen.
      4. Neem contact op met het Attic IR team voor een grondig onderzoek. Hiervoor is een IR Credit Pack vereist.

    • Zo ja: De roltoewijzing is bewust uitgevoerd:

      1. Controleer of de toewijzing voldoet aan het interne beleid voor Tier0 rolbeheer. Zorg ervoor dat PIM is geconfigureerd met passende tijdslimieten en goedkeuringsworkflows.
      2. Indien de toewijzing in overeenstemming is met het beleid: sluit het incident af.

Meer informatie