Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Gebruiker wordt beheerder (PIM) [RULE-1142]

Deze regel detecteert wanneer een gebruiker voor het eerst hoge administratieve privileges krijgt via Privileged Identity Management (PIM). Dit omvat toewijzingen aan rollen zoals Exchange Administrator, SharePoint Administrator, Security Administrator en andere verhoogde rollen die aanzienlijke controle geven over delen van de Microsoft 365 omgeving.

Rationale

Wanneer een gebruiker voor het eerst administratieve privileges ontvangt, vertegenwoordigt dit een significante wijziging in het toegangsniveau van die gebruiker. Hoewel dit vaak een legitieme actie is -- bijvoorbeeld wanneer een nieuw IT-teamlid wordt ingewerkt of verantwoordelijkheden worden herverdeeld -- kan het ook een indicator zijn van een gecompromitteerd account of insider threat activiteit.

Een aanvaller die toegang heeft verkregen tot een account met Privileged Role Administrator of Global Administrator rechten, kan andere accounts promoveren naar administratieve rollen om meerdere toegangspunten binnen de omgeving te vestigen. Door eerder niet-geprivilegieerde accounts te verhogen, creert de aanvaller redundante toegangspaden die de remediatie van een enkel gecompromitteerd account overleven. Deze techniek valt onder MITRE ATT&CK T1098 (Account Manipulation) en T1078 (Valid Accounts).

Eerste administratieve roltoewijzingen zijn bijzonder opmerkelijk omdat ze een afwijking aangeven van het gebruikelijke toegangspatroon van een gebruiker. Het detecteren van deze overgangen stelt organisaties in staat om te valideren dat privilege escalation bewust en goedgekeurd is, in plaats van het resultaat van ongeautoriseerde activiteit.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Controleer of de administratieve roltoewijzing bewust is uitgevoerd door een geautoriseerde beheerder. Verifieer bij het IT-beveiligingsteam of de gebruiker verwacht werd verhoogde privileges te ontvangen.

    • Zo nee: De roltoewijzing was niet geautoriseerd en kan duiden op een gecompromitteerd account:

      1. Verwijder de gebruiker onmiddellijk uit de administratieve rol via het Entra admin center onder Identity > Roles & admins.
      2. Blokkeer de aanmelding voor zowel de nieuw verhoogde gebruiker als het beheerdersaccount dat de toewijzing heeft uitgevoerd, en trek alle actieve sessies in.
      3. Onderzoek de audit logs en authentication methods van beide accounts om vast te stellen of ze zijn gecompromitteerd.
      4. Neem contact op met het Attic IR team voor verder onderzoek om de volledige omvang van het incident vast te stellen. Hiervoor is een IR Credit Pack vereist.

    • Zo ja: De roltoewijzing is bewust uitgevoerd:

      1. Controleer of de toegewezen rol het principe van least privilege volgt. Zorg ervoor dat de gebruiker niet meer rechten heeft gekregen dan noodzakelijk voor de verantwoordelijkheden.
      2. Indien de toewijzing passend is en in overeenstemming met het beleid: sluit het incident af.

Meer informatie