Auditing von Privilege Escalation in MS Teams und SharePoint Online

Netwrix Auditor für SharePoint

• Netwrix Auditor starten → Navigieren Sie zu „Suche“ → Klicken Sie auf „Erweiterter Modus“, falls nicht ausgewählt.
• Richten Sie die folgenden Filter ein:
  • Filter = „Datenquelle“
    Operator = „Gleich“
    Wert = „SharePoint Online“
  • Filter = „Details“
    Operator = „Enthält“
    Wert = „Mitglieder“
  • Filter = „Details“
    Operator = „Enthält“
    Wert = „Berechtigungen“
  • Filter = „Was“
    Operator = „Enthält nicht“
    Wert = „ Mitglieder“
  • Filter = „Was“
    Operator = „Enthält nicht“
    Wert = „ Besucher“

• Klicken Sie auf Search und überprüfen Sie Ihren Bericht:
  Anmerkungen zum Berichtsinhalt:
  • In Fällen, in denen Berechtigungen direkt zugewiesen wurden, beginnen die Details unterhalb der UPN des Akteurs in der Spalte „Wer“ mit „Berechtigungen:“ und die erteilten Berechtigungen werden in Anführungszeichen angegeben.
  • In Fällen, in denen ein Benutzer zu einer Gruppe hinzugefügt wurde, beginnen die Details mit „Members:“ und der Name der Gruppe wird in der Spalte „What“ angegeben.
• Um Ihre Suchergebnisse weiter zu verfeinern, können Sie bestimmte Gruppen, Seiten oder Akteure ausschließen, indem Sie die unerwünschte Zeile in den Ergebnissen auswählen und im Detailbereich auf die Schaltfläche Exclude from search klicken und das Ergebnis auswählen, das Sie ausschließen möchten.

Erfahren Sie mehr über Netwrix Auditor for SharePoint

Native Lösung

• Öffnen Sie das Office 365 Security & Compliance-Dashboard.
• Gehen Sie zu Search -> Audit log-Suche.
• In den Aktivitätsfiltern wählen Sie „Shared file, folder, or site“ und „Unshared file, folder, or site“.
• Klicken Sie Suchen.
  Die Suchergebnisse listen folgende Ereignisse auf: Direktes Gewähren von Zugriffsrechten, Hinzufügen eines Benutzers zu einer Gruppe, Ändern von Gruppenrechten. Die Ausgabetabelle enthält folgende grundlegende Details:
  • Benutzer — Der Name des Benutzers, der die Aktion durchgeführt hat
  • Artikel — Die URL der SharePoint-Seite oder des Teams, auf der bzw. in dem die Änderung vorgenommen wurde
  • Detail — Der Benutzer oder die Gruppe, auf die die Änderung angewendet wurde

• Um festzustellen, ob eine Rechteerweiterung stattgefunden hat, müssen Sie weiter nachforschen. Eine Möglichkeit besteht darin, das Ereignis zu erweitern und die Informationen zu überprüfen, indem Sie auf das Ereignis klicken und den Details-Tab durchsuchen. Je nach Aktivität müssen Sie nach folgenden Informationen suchen:
  • Wenn ein Benutzer zu einer Gruppe mit Vollzugriff-Berechtigungen hinzugefügt wurde:

EventData: <Zur Gruppe hinzugefügt> zeigt den Namen der Gruppe an, zu der der Benutzer hinzugefügt wurde.
(Beachten Sie, dass die Gruppe mit Vollzugriffsberechtigungen für eine Website oder ein Team standardmäßig „[SiteName] Owners“ genannt wird.)

• Wenn einem Benutzer direkt Rechte gewährt wurden: EventData: <Permissions granted> Feld zeigt Ihnen die erteilten Berechtigungen. Ihre höchste Priorität ist es, Benutzer zu überwachen, denen Vollzugriff gewährt wird.

Allerdings sind die Filterfunktionen der Audit Log-Suche recht einfach und ermöglichen es nicht, irrelevante Ergebnisse auszuschließen, sodass Sie bei dieser Methode jedes einzelne Ereignis durchklicken müssen. Eine alternative Methode, um Privilegienerweiterungen zu finden, besteht darin, die Daten in Excel zu parsen:

• Geben Sie Ihre Suchergebnisse in CSV aus, indem Sie auf Export Results -> Download all results klicken.
• Öffnen Sie eine leere Arbeitsmappe -> Auf der Data-Registerkarte im Abschnitt Get & Transform Data klicken Sie auf From Text/CSV -> Öffnen Sie die heruntergeladene CSV-Datei -> Klicken Sie auf Transform Data.
• Im Query Editor, klicken Sie mit der rechten Maustaste auf den Titel in der Spalte AuditData -> Klicken Sie auf Transform -> Wählen Sie JSON.
• In der oberen rechten Ecke der Spalte AuditData, klicken Sie auf das Erweiterungssymbol -> Klicken Sie auf Mehr laden -> Heben Sie die Auswahl der Eigenschaften auf, die Sie nicht einbeziehen möchten -> Klicken Sie auf OK.
  
  Die resultierende Tabelle wird folgende Informationen enthalten:
  • AuditData.CreationTime — Der Zeitstempel des Ereignisses
  • AuditData.ClientIP — Die IP-Adresse, von der aus das Ereignis durchgeführt wurde
  • AuditData.UserId — Der Name des Benutzers, der die Aktion durchgeführt hat
  • AuditData.EventData — Die durchgeführte Aktion
  • AuditData.SiteUrl — Die URL der SharePoint-Seite oder des Teams, auf der die Änderung vorgenommen wurde
  • AuditData.TargetUserOrGroupName — Der Benutzer oder die Gruppe, auf die die Änderung angewendet wurde

Bleiben Sie dem Privilegien-Eskalation immer einen Schritt voraus, um Bedrohungsakteure zu blockieren, bevor sie Schaden anrichten können

SharePoint Online und Microsoft Teams ermöglichen ein bisher unerreichtes Maß an Zusammenarbeit und Dateifreigabe. Benutzer können jede Person mit einer E-Mail-Adresse einladen, einer Website oder einem Team beizutreten – nicht nur interne Kollegen, sondern auch externe Benutzer wie Kunden, Lieferanten und Auftragnehmer – ohne jegliche Unterstützung durch das IT-Personal.

Dieses Selbstbedienungsmodell ist bequem für Benutzer, erfordert jedoch klarerweise, dass IT-Teams ihre Zugriffskontrollstrategien verbessern. Sie müssen genau darauf achten, wer Zugang zu Ihrer Umgebung erhält und in der Lage sein, jede Eskalation von Berechtigungen schnell zu erkennen, wie zum Beispiel einen Benutzer, der zu einer Besitzergruppe hinzugefügt wird oder jemandem, der Vollzugriffsberechtigungen für ein Team oder eine Website erteilt bekommt. Wenn beispielsweise einem externen Benutzer Vollzugriff über eine Website oder ein Team gegeben wird, stellt dies eine direkte Bedrohung für Ihre Umgebung dar, da sie in der Website oder im Team tun können, was sie wollen, einschließlich des Ansehens oder Löschens der dort gespeicherten Daten. Bei einem internen Benutzer kann eine Privilegienerhöhung ein Zeichen für böswillige Absichten oder Kompromittierung des Kontos sein.

Mit nativen Tools ist es schwierig, die Einblicke zu gewinnen, die Sie benötigen, um diese Bedrohungen zu erkennen und zu blockieren. Das Office 365-Auditprotokoll zeichnet Änderungen an Gruppenmitgliedschaften und Berechtigungen auf, aber es gibt keinen einfachen Weg, diese Aktivitäten zu verfolgen – um die Details zu überprüfen, müssen Sie entweder mühsam in jedes Ereignis eintauchen oder die Daten in eine CSV-Datei herunterladen und dort analysieren.

Netwrix Auditor eliminiert die Notwendigkeit, Ihre kostbare Zeit damit zu verbringen, mühsam durch einen Berg von Ereignisprotokolleinträgen zu kämmen. Mit seiner interaktiven Suche können Sie Ihre Suchparameter leicht verfeinern und schnell auf die relevanten Ereignisse fokussieren. Außerdem erhalten Sie sofort alle wichtigen Details, einschließlich wer neue Berechtigungen erhalten hat und ob die Privilegienerweiterung das Ergebnis einer Änderung der Gruppenmitgliedschaft oder einer direkten Zuweisung war.

Außerdem können Sie Ihre Suchparameter als benutzerdefinierten Bericht speichern, zu dem Sie sich anmelden können, oder sie verwenden, um einen Alarm zu erstellen. So können Sie problemlos den Überblick über Ereignisse der Rechteerweiterung in Ihren MS Teams und SharePoint Online-Umgebungen behalten.