Idioma:
Este IoE no puede funcionar sin una licencia de Microsoft Entra ID P1 o P2 debido a restricciones de disponibilidad de datos impuestas por Microsoft.
Un usuario que no se utilizó nunca es una cuenta de usuario creada en Entra ID que nunca se autenticó correctamente durante una cierta cantidad de días (90 días de manera predeterminada, aunque se puede personalizar) desde su creación.
Aumentan la superficie de ataque por diversos motivos, entre otros:
también se han dirigido campañas a cuentas inactivas pertenecientes a usuarios que ya no trabajan en una organización víctima, pero cuyas cuentas permanecen en el sistema
y:
Luego de un restablecimiento de contraseñas obligatorio para todos los usuarios durante un incidente, también se observó que los agentes de SVR iniciaron sesión en cuentas inactivas y siguieron las instrucciones para restablecer la contraseña. Esto permitió que los agentes recuperaran el acceso luego de las actividades de expulsión de respuesta ante incidentes.
Además, considere el IoE “Usuario inactivo” relacionado, que identifica a todos los usuarios previamente activos que desde entonces se han vuelto inactivos. El riesgo es mayor para los usuarios privilegiados. Consulte también el IoE relacionado, “Usuario sin privilegios no utilizado nunca”, para los usuarios sin privilegios.
Nota:
lastSuccessfulSignInDateTime
de la propiedad signInActivity
de los objetos de usuario. Su ventaja radica en informar únicamente los inicios de sesión correctos con el fin de evitar interrupciones debido a intentos fallidos, a diferencia de la propiedad lastSignInDateTime
. La propiedad lastSuccessfulSignInDateTime
está disponible desde diciembre de 2023.signInActivity
, necesita una licencia de Microsoft Entra ID P1 o P2 para cada inquilino. De lo contrario, este IoE no puede detectar usuarios que nunca se usaron y, por lo tanto, omite todo el análisis.Tenable recomienda revisar periódicamente, y deshabilitar o eliminar estos usuarios que no se han utilizado nunca, en particular los privilegiados. Luego de identificarlos, siga las acciones a continuación:
Nombre: Usuario privilegiado no utilizado nunca
Nombre en clave: NEVER-USED-PRIVILEGED-USER
Gravedad: Medium
Tipo: Microsoft Entra ID Indicator of Exposure