Descripción

Un dispositivo que no se utilizó nunca es una cuenta de dispositivo creada en Entra ID que nunca se autenticó durante una cierta cantidad de días (90 días de manera predeterminada, aunque se puede personalizar) desde su creación.

A diferencia de Active Directory, donde los administradores a veces pueden crear previamente cuentas de equipo, no existe ninguna funcionalidad similar para crear previamente cuentas de dispositivo en Microsoft Entra ID. Sin embargo, aún pueden existir en Entra ID cuentas de dispositivo creadas previamente a través de Microsoft Entra Connect. Cuando la unión híbrida de Microsoft Entra está habilitada, Entra Connect crea previamente las cuentas de equipo en Entra ID correspondientes a las de Active Directory.

Las cuentas de dispositivo no utilizadas nunca varían desde ser meramente antihigiénicas hasta ser absolutamente sospechosas, lo que podría indicar el uso de herramientas ofensivas, como AADInternals, por parte de los atacantes.

Además, considere el IoE “Dispositivo inactivo” relacionado, que identifica todos los dispositivos previamente activos que desde entonces se han vuelto inactivos.

Nota:

  1. Este IoE se basa en la propiedad approximateLastSignInDateTime, que no se actualiza en tiempo real. El valor actual se actualiza solo si la diferencia supera los 14 días (+/-5 días).
  2. Por este motivo, Microsoft reconoce que “algunos dispositivos activos pueden tener una marca de tiempo en blanco”. En tales casos, es necesario llevar a cabo una investigación más detallada con los registros de auditoría de inicio de sesión para descubrir actualizaciones más frecuentes en el dispositivo.

Solución

Tenable recomienda revisar periódicamente, y deshabilitar o eliminar los dispositivos que no se han utilizado nunca. Luego de identificarlos, siga las acciones a continuación:

  1. Deshabilite los dispositivos.
  2. Espere un período suficiente, como unos meses, para garantizar que no haya ningún efecto no deseado.
  3. Luego de este plazo, si no se informan problemas y si la política de seguridad de la información de la organización lo permite, proceda a eliminarlos.

Microsoft publicó la guía Administración de dispositivos obsoletos en Microsoft Entra ID, en la que se brinda información sobre cómo gestionar dispositivos obsoletos según su tipo de unión (por ejemplo, registrado en Microsoft Entra, unido a Microsoft Entra, etc.). Recomendamos que la revise antes de eliminar cualquier dispositivo.

Detalles del indicador

Nombre: Dispositivo no utilizado nunca

Nombre en clave: NEVER-USED-DEVICE

Gravedad: Low

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: