Nieuwe Owner toegevoegd aan Azure Subscription [RULE-1162]
Deze regel detecteert wanneer een gebruiker wordt toegevoegd als eigenaar (Owner) aan een Azure subscription. De Owner rol is de hoogste rechtenrol binnen Azure en geeft volledige controle over alle resources binnen het abonnement, inclusief het beheer van toegangsrechten, facturering en alle onderliggende resources.
Rationale
De Azure subscription Owner rol is een van de meest krachtige rollen binnen de Azure omgeving. Een gebruiker met deze rol kan alle resources binnen het abonnement beheren, inclusief het toekennen en intrekken van rechten aan andere gebruikers, het aanmaken en verwijderen van resources, en het wijzigen van beveiligingsinstellingen. Dit maakt de Owner rol een aantrekkelijk doelwit voor aanvallers.
Wanneer een aanvaller toegang heeft tot een account met voldoende rechten, kan deze zichzelf of een ander gecompromitteerd account de Owner rol toekennen. Dit wordt ook wel privilege escalation genoemd (zie ook: MITRE ATT&CK T1098 - Account Manipulation). Met deze verhoogde rechten kan de aanvaller vervolgens de volledige Azure omgeving overnemen, data exfiltreren, resources aanmaken voor cryptomining, of backdoors installeren voor toekomstige toegang.
Het is daarom cruciaal om nieuwe Owner toekenningen te monitoren en te valideren. Legitieme toekenningen van de Owner rol zijn vaak zeldzaam en zouden altijd via een gecontroleerd proces moeten verlopen. Onverwachte toekenningen kunnen duiden op een security incident en vereisen onmiddellijke actie.