Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Gebruiker wordt beheerder (non-PIM) [RULE-1131]

Deze regel waarschuwt wanneer een gebruiker voor het eerst permanente, hoge admin-rechten krijgt in Microsoft Entra ID. Er wordt hierbij bewust om het veiligheidsmechanisme heen gewerkt (PIM - wat normaal zorgt voor tijdelijke rechten met goedkeuring).

Rationale

Permanente admin-rechten vergroten het aanvalsoppervlak enorm. Een veelgebruikte tactiek van hackers (MITRE T1098.003 - Account Manipulation) is om een gecompromitteerd regulier account te voorzien van permanente admin-rechten. Hiermee nestelen ze zich onbeperkt in het netwerk. Als dit onopgemerkt blijft, kan een aanvaller volledige controle over de omgeving behouden. Elke directe roltoewijzing moet daarom direct geverifieerd worden.

 

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Verifieer bij de administrator die in de alert wordt genoemd of deze bewust hoge privileges aan de gebruiker heeft toegekend. Controleer of er een gedocumenteerd wijzigingsverzoek of zakelijke rechtvaardiging is voor de roltoewijzing.

    • Zo nee: De privilege escalation was niet geautoriseerd en kan wijzen op een gecompromitteerd administrator account:

      1. Verwijder de gebruiker onmiddellijk uit de rol met hoge privileges via het Entra admin center onder Roles and administrators.
      2. Onderzoek het administrator account dat de roltoewijzing heeft uitgevoerd: bekijk sign-in logs op verdachte activiteit, controleer op onbekende IP-adressen of locaties en revoke actieve sessies.
      3. Bekijk het Unified Audit Log op security.microsoft.com voor aanvullende ongeautoriseerde wijzigingen door het nieuw verhoogde account of de administrator die de toewijzing heeft uitgevoerd.
      4. Als het administrator account gecompromitteerd lijkt, reset de credentials en forceer MFA-herregistratie. Neem contact op met Attic voor incident response ondersteuning als de omvang van de compromittering verder reikt dan de geïdentificeerde accounts.

    • Zo ja: De roltoewijzing was bewust uitgevoerd:

      1. Verifieer dat de toewijzing in lijn is met het beveiligingsbeleid van uw organisatie. Adviseer om de toewijzing te migreren naar Privileged Identity Management (PIM) voor tijdgebonden, auditbare toegang in plaats van een permanente directe toewijzing.
      2. Als de toewijzing acceptabel en gedocumenteerd is: sluit het incident af. Zorg ervoor dat de nieuwe administrator de juiste MFA heeft geconfigureerd en getraind is in de bijbehorende verantwoordelijkheden.

Meer informatie