Détections

Appareils dormants

LOW

Langue :

Description

Un appareil dormant ou obsolète est un compte d'appareil qui est resté inactif (aucune connexion effectuée) pendant une période spécifiée (90 jours par défaut, personnalisable via une option).

Les appareils dormants peuvent introduire les risques de sécurité et les complications opérationnelles suivants :

  • Surface d'attaque accrue : une configuration obsolète et des vulnérabilités non corrigées rendent les appareils dormants vulnérables aux exploits corrigés par les mises à jour récentes.
  • Compromission plus facile : les attaquants peuvent compromettre plus facilement l'ensemble d'un tenant et obtenir un accès non autorisé à des informations sensibles.
  • Audits : signalement d'erreurs lors des audits de conformité.
  • Consommation de ressources : les licences inutilisées entraînent des dépenses évitables.
  • Dégradation des performances : écritures inutiles sur les appareils, qui prolongent le temps requis pour les synchronisations Microsoft Entra Connect.

Tenez également compte de l'IoE connexe « Appareils jamais utilisés » qui identifie tous les appareils précréés mais qui n'ont jamais utilisés.

Remarque :

  1. Cet IoE dépend de la propriété approximateLastSignInDateTime, qui ne se met pas à jour en temps réel. La valeur actuelle n'est mise à jour que si la différence dépasse 14 jours (+/-5 jours).
  2. C'est pourquoi Microsoft reconnaît que « certains appareils actifs peuvent avoir un horodatage vide ». Dans ce cas, un examen plus approfondi des journaux d'audit des connexions est nécessaire pour identifier des mises à jour plus fréquentes sur l'appareil.

Solution

Tenable vous recommande de vérifier régulièrement les appareils dormants et de les désactiver ou les supprimer. Après les avoir identifiés, prenez les mesures suivantes :

  1. Désactivez-les.
  2. Attendez quelques mois.
  3. Passé ce délai, si aucun problème n'est signalé et si la stratégie de sécurité des informations de l'organisation le permet, supprimez-les.

Microsoft a publié un guide intitulé Tutoriel : Gérer les appareils obsolètes dans Microsoft Entra ID, qui fournit des informations sur la gestion des appareils obsolètes en fonction de leur type de jonction (par exemple Microsoft Entra enregistré, Microsoft Entra joint, etc.). Nous vous recommandons d'en prendre connaissance avant de supprimer des appareils.

Détails de l'indicateur

Nom: Appareils dormants

Nom de code: DORMANT-DEVICE

Sévérité: Low

Type: Microsoft Entra ID Indicator of Exposure

Informations MITRE ATT&CK: