설명

사용한 적 없는 장치란 Entra ID에서 만든 이후 특정 기간(기본적으로 90일, 사용자 지정 가능) 동안 인증된 적이 없는 장치 계정입니다.

상황에 따라 관리자가 컴퓨터 계정을 미리 만들 수 있는 Active Directory와는 달리 Microsoft Entra ID에는 장치 계정을 미리 만드는 기능이 없습니다. 하지만 Microsoft Entra Connect를 통해 Entra ID에도 미리 만든 장치 계정이 존재할 수 있습니다. Microsoft Entra 하이브리드 조인을 사용으로 설정하면 Entra Connect가 Active Directory에 있는 것과 상응하는 컴퓨터 계정을 Entra ID에 미리 만듭니다.

사용한 적 없는 장치 계정에는 단순히 사이버 하이진 불량인 것부터 완전히 의심스러운 것까지 다양한 종류가 있으며, 공격자가 AADInternals와 같은 공격 도구를 사용하고 있다는 의미를 시사할 가능성이 있습니다.

관련 IoE인 "휴면 장치"도 고려해야 합니다. 이 IoE는 이전에 활성이었지만 이후 비활성이 된 모든 장치를 식별합니다.

참고:

  1. 이 IoE는 approximateLastSignInDateTime 속성에 의존하며 이 속성은 실시간으로 업데이트되지 않습니다. 현재 값은 차이가 14일(+/-5일)을 초과해야만 업데이트됩니다.
  2. 따라서 Microsoft에서는 "일부 활성 장치에 타임스탬프가 비어 있을 수 있다"고 인정합니다. 이런 경우에는 로그인 감사 로그를 자세히 조사하여 장치의 업데이트 빈도가 높았는지 파악해야 합니다.

솔루션

Tenable에서는 사용한 적 없는 장치를 정기적으로 검토하고, 사용 중지하거나 삭제하도록 권장합니다. 이러한 장치를 식별한 뒤에는 다음과 같은 작업을 수행합니다.

  1. 장치를 사용 중지합니다.
  2. 몇 달 정도 충분히 기다려 의도치 않은 영향이 없는지 확실히 합니다.
  3. 이렇게 지연한 뒤에 보고된 문제가 없고 조직 정보 보안 정책상 허용되는 경우, 삭제 처리를 진행합니다.

Microsoft에서 방법: Microsoft Entra ID에서 오래된 장치 관리에 관한 가이드를 발행했습니다. 이 가이드를 보면 장치의 조인 유형을 기준으로(예: Microsoft Entra 등록됨, Microsoft Entra 조인됨 등) 오래된 장치를 관리하는 방법을 알 수 있습니다. 장치를 삭제하기 전에 이 가이드를 검토하는 것이 좋습니다.

지표 세부 정보

이름: 사용한 적 없는 장치

코드명: NEVER-USED-DEVICE

심각도: Low

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: