Détections

Appareils jamais utilisés

LOW

Langue :

Description

Un appareil jamais utilisé est un compte d'appareil créé dans Entra ID qui ne s'est jamais authentifié pendant un certain nombre de jours (90 jours par défaut, personnalisable) depuis sa création.

Contrairement à Active Directory où les administrateurs peuvent parfois précréer des comptes machine, il n'existe pas de fonctionnalité de ce type pour précréer des comptes d'appareils dans Microsoft Entra ID. Toutefois, les comptes d'appareils précréés peuvent toujours exister dans Entra ID via Microsoft Entra Connect. Lorsque la jonction hybride Microsoft Entra est activée, Entra Connect précrée dans Entra ID les comptes machine correspondant aux comptes Active Directory.

Les comptes d'appareils jamais utilisés sont au mieux peu hygiéniques, au pire ouvertement suspects, indiquant potentiellement l'utilisation d'outils offensifs comme AADInternals par des attaquants.

Tenez également compte de l'IoE connexe « Appareils dormants » qui identifie tous les appareils précédemment actifs qui sont devenus inactifs depuis.

Remarque :

  1. Cet IoE dépend de la propriété approximateLastSignInDateTime, qui ne se met pas à jour en temps réel. La valeur actuelle n'est mise à jour que si la différence dépasse 14 jours (+/-5 jours).
  2. C'est pourquoi Microsoft reconnaît que « certains appareils actifs peuvent avoir un horodatage vide ». Dans ce cas, un examen plus approfondi des journaux d'audit des connexions est nécessaire pour identifier des mises à jour plus fréquentes sur l'appareil.

Solution

Tenable vous recommande de vérifier régulièrement les appareils jamais utilisés et de les désactiver ou les supprimer. Après les avoir identifiés, prenez les mesures suivantes :

  1. Désactivez-les.
  2. Attendez quelques mois.
  3. Passé ce délai, si aucun problème n'est signalé et si la stratégie de sécurité des informations de l'organisation le permet, supprimez-les.

Microsoft a publié un guide intitulé Tutoriel : Gérer les appareils obsolètes dans Microsoft Entra ID, qui fournit des informations sur la gestion des appareils obsolètes en fonction de leur type de jonction (par exemple Microsoft Entra enregistré, Microsoft Entra joint, etc.). Nous vous recommandons d'en prendre connaissance avant de supprimer des appareils.

Détails de l'indicateur

Nom: Appareils jamais utilisés

Nom de code: NEVER-USED-DEVICE

Sévérité: Low

Type: Microsoft Entra ID Indicator of Exposure

Informations MITRE ATT&CK: