語言:
有鑑於 Microsoft 的資料可用性限制,本曝險指標 (IoE) 若缺少 Microsoft Entra ID P1 或 P2 授權則無法運作。
休眠使用者是指在特定時間內 (預設為 90 天,可透過選項自訂) 從未完成驗證,因此被判定為非作用中的使用者帳戶。
休眠使用者可能會帶來下列安全風險,並導致營運流程複雜化:
攻擊者也鎖定了屬於受害組織已離職員工、但仍存在於系統中的休眠帳戶
在資安事端期間強制要求所有使用者重設密碼後,也發現有 SVR 攻擊者登入非作用中帳戶,並按照說明重設密碼,這讓攻擊者在資安事端回應驅逐行動後,仍能重新取得存取權。
另請考慮相關的曝險指標 (IoE)「待啟用的非特權使用者」,該指標會識別所有預先建立但從未啟用的使用者。 如需特權使用者的資訊,另請參閱相關的曝險指標 (IoE)「休眠特權使用者」。
請注意:
signInActivity
內的 lastSuccessfulSignInDateTime
屬性。其優點在於僅報告成功登入的情況,以避免像 lastSignInDateTime
屬性那樣因失敗的嘗試而干擾分析結果。 lastSuccessfulSignInDateTime
屬性已於 2023 年 12 月推出。signInActivity
資源類型,則每個租用戶皆需要擁有 Microsoft Entra ID P1 或 P2 授權 。否則,此曝險指標 (IoE) 會因為無法偵測到休眠使用者而跳過整個分析。Tenable 建議您定期檢查,並停用或刪除休眠使用者。找出這類使用者後,請採取以下動作:
名稱: 休眠非特權使用者
代碼名稱: DORMANT-NON-PRIVILEGED-USER
嚴重性: Low
類型: Microsoft Entra ID Indicator of Exposure