Language:
この IoE は、Microsoft によるデータ可用性の制限により、Microsoft Entra ID P1 または P2 ライセンスなしでは動作できません。
使用されたことがないユーザーとは、Entra ID で作成されてから特定の日数 (デフォルトでは 90 日間、カスタマイズ可能) の間に一度も認証に成功していないユーザーアカウントのことです。
これらは次のようなさまざまな理由でアタックサーフェスを増やしてしまいます。
キャンペーンは、被害を受けた組織でもう働いていないもののシステムにアカウントが残っているユーザーの休眠アカウントも標的にしています。
さらに、次のようにも報告しています。
インシデント中のすべてのユーザーに対する強制パスワードリセットの後に、SVR 攻撃者が非アクティブアカウントにログインし、パスワードをリセットする指示に従っている様子も観察されました。これにより、攻撃者はインシデント対応の撤退アクティビティ後もアクセスを再取得することができました。
また、関連する IoE [休眠状態のユーザー] も考慮してください。これは、以前はアクティブだったものの、非アクティブになったすべてのユーザーを特定します。 特権ユーザーについては、関連する IOE [使用されたことがない特権ユーザー] も参照してください。
注意:
signInActivity
プロパティ内の lastSuccessfulSignInDateTime
プロパティに依存しています。プロパティ lastSignInDateTime
とは異なり、成功したサインインのみを報告するので、試行の失敗による中断を回避できるという利点があります。lastSuccessfulSignInDateTime
プロパティは、2023 年 12 月に使用可能になりました。signInActivity
リソースタイプにアクセスするには、各テナントに Microsoft Entra ID P1 または P2 ライセンスが必要です。ライセンスがない場合、この IoE は使用されたことがないユーザーを検出できないため、分析全体をスキップします。Tenable では、使用されたことがないユーザーを定期的に確認し、無効化または削除することを推奨しています。それらを特定したら、次のアクションを実行してください。
名前: 使用されたことがない非特権ユーザー
コード名: NEVER-USED-NON-PRIVILEGED-USER
深刻度: Low
タイプ: Microsoft Entra ID Indicator of Exposure