Verborgen Beheerrollen Controleren [CHK-1160]
Deze controle identificeert of er verborgen beheerrollen zijn toegekend die de configuratie van multi-factor authenticatie omzeilen binnen Entra ID.
Rationale
Deze verborgen rollen kunnen door aanvallers worden misbruikt om zichzelf onopgemerkt hoge rechten toe te kennen. Het toewijzen van deze rollen kan een indicatie zijn van een grotere cyberaanval.
Fix
Handmatige stappen:
- Ga naar Microsoft Entra Admin Center https://entra.microsoft.com
- Selecteer gebruikers
- Navigeer naar de genoemde gebruiker
- Controleer of de gebruiker een bekende gebruiker is
- Als de gebruiker onbekend is, schakel dan het account uit
- Klik op 'Sessies intrekken' om te voorkomen dat de gebruiker toegang heeft tot de tenant
- Onderzoek of de gebruiker stappen heeft ondernomen om permanente toegang te krijgen
Als de gebruiker toegang zou moeten hebben, overweeg dan om de gebruiker via de Attic-app op de whitelist te zetten. Dit voorkomt onnodige waarschuwingen.
Impact
Het verwijderen van onterecht toegewezen rollen vermindert het risico op ongeautoriseerde toegang en mogelijke cyberaanvallen.