Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Nieuwe GDAP-relatie [RULE-1139]

Deze regel detecteert wanneer een nieuwe Granular Delegated Admin Privileges (GDAP) relatie wordt aangegaan tussen uw Microsoft 365 tenant en een externe organisatie. GDAP-relaties geven een externe partnerorganisatie specifieke administratieve rollen binnen uw omgeving.

Rationale

GDAP-relaties zijn het mechanisme waarmee Microsoft Cloud Solution Providers (CSP's) en managed service providers administratieve toegang verkrijgen tot tenants van klanten. Hoewel deze relaties veelal worden gebruikt voor legitiem IT-beheer, zijn ze ook een bekend aanvalsvector die door kwaadwillenden wordt misbruikt.

In de afgelopen jaren is waargenomen dat aanvallers die toegang krijgen tot een tenant -- vaak via gecompromitteerde inloggegevens of adversary-in-the-middle (AiTM) phishing -- ongeautoriseerde GDAP-relaties aanmaken om persistente, onopgemerkte toegang te verkrijgen. Omdat GDAP-relaties privileged roles (zoals Global Administrator, Exchange Administrator of Security Administrator) toekennen aan een externe tenant, kan een kwaadaardige GDAP-relatie een aanvaller volledige controle geven over uw omgeving, terwijl het eruitziet als een legitieme partnerrelatie. Deze techniek valt onder MITRE ATT&CK T1098 (Account Manipulation) en T1078 (Valid Accounts).

Het monitoren van nieuwe GDAP-relaties is van cruciaal belang omdat deze relaties onopgemerkt kunnen blijven bij standaard monitoring op gebruikersniveau. Een ongeautoriseerde GDAP-relatie biedt in feite een backdoor die blijft bestaan, zelfs nadat gecompromitteerde gebruikersaccounts zijn hersteld.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Controleer of de nieuwe GDAP-relatie bewust is aangemaakt door een geautoriseerde beheerder. Verifieer bij de IT-afdeling of het management of een nieuwe partnerrelatie werd verwacht.

    • Zo nee: De GDAP-relatie was niet geautoriseerd en kan het gevolg zijn van een compromittering:

      1. Beeindig de GDAP-relatie onmiddellijk via het Microsoft 365 admin center onder Instellingen > Partnerrelaties.
      2. Onderzoek de audit logs om vast te stellen welk account de relatie heeft aangemaakt en onderzoek of dat account is gecompromitteerd.
      3. Stel de inloggegevens opnieuw in en trek sessies in van alle accounts die betrokken waren bij het aanmaken van de ongeautoriseerde relatie.
      4. Neem contact op met het Attic IR team voor verder onderzoek om de omvang van de compromittering vast te stellen. Hiervoor is een IR Credit Pack vereist.

    • Zo ja: De GDAP-relatie is bewust aangemaakt:

      1. Controleer of de toegewezen rollen het principe van least privilege volgen. Zorg ervoor dat de externe organisatie niet meer rechten heeft gekregen dan noodzakelijk.
      2. Indien de rollen en partnerorganisatie acceptabel zijn: sluit het incident af.

Meer informatie