언어:
이 IoE는 Microsoft의 데이터 가용성 제한으로 인해 Microsoft Entra ID P1 또는 P2 라이선스가 없으면 작동하지 않습니다.
휴면 사용자란 정해진 기간(기본적으로 90일이며 옵션을 통해 사용자 지정할 수 있음) 동안 로그인을 완료한 적 없이 비활성으로 유지된 사용자 계정을 말합니다.
휴면 사용자는 다음과 같은 보안 위험과 운영 문제를 초래할 수 있습니다.
캠페인에서 더 이상 피해 조직에서 근무하지 않지만 계정이 시스템에 그대로 유지된 사용자가 소유한 휴면 계정을 표적으로 삼았습니다.
인시던트 중에 모든 사용자에게 비밀번호 재설정이 적용된 뒤, SVR 공격자가 비활성 계정에 로그인하여 비밀번호 재설정 안내를 따른 것으로 확인되었습니다. 그 결과 공격자가 인시던트 대응 제거 활동 이후 액세스 권한을 다시 얻을 수 있었습니다.
미리 만들었지만 사용된 적이 없는 모든 사용자를 식별하는 관련 IoE "사용한 적 없는 권한이 없는 사용자"도 고려하십시오. 권한이 있는 사용자의 경우, 관련 IOE인 "휴면 권한이 있는 사용자"도 참조하십시오.
참고:
signInActivity
속성 내 lastSuccessfulSignInDateTime
속성에 의존합니다. 이 IoE는 lastSignInDateTime
속성과는 달리 로그인 실패로 인한 중단을 피하고, 성공한 로그인만 보고한다는 장점이 있습니다. lastSuccessfulSignInDateTime
속성을 2023년 12월부터 사용할 수 있게 되었습니다.signInActivity
리소스 유형에 액세스하려면 각각의 테넌트에 Microsoft Entra ID P1 또는 P2 라이선스가 있어야 합니다. 그렇지 않은 경우 이 IoE는 휴면 사용자를 탐지할 수 없고, 따라서 전체 분석을 건너뛰게 됩니다.Tenable에서는 휴면 사용자를 정기적으로 검토하고, 사용 중지하거나 삭제하도록 권장합니다. 이러한 사용자를 식별한 뒤에는 다음과 같은 작업을 수행합니다.
이름: 권한이 없는 휴면 사용자
코드명: DORMANT-NON-PRIVILEGED-USER
심각도: Low
유형: Microsoft Entra ID Indicator of Exposure