Diese Seite wurde von der Cloud Translation API übersetzt.

Erstzugriff: Konto deaktiviert – Gehackt

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Wenn Sie Ihre Google Workspace-Logs für Cloud Logging freigeben, generiert Event Threat Detection Ergebnisse für mehrere Google Workspace-Bedrohungen. Da Google Workspace-Logs auf Organisationsebene vorliegen, kann Event Threat Detection sie nur scannen, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Event Threat Detection reichert Logereignisse an und schreibt Ergebnisse in Security Command Center. In der folgenden Tabelle werden ein Ergebnistyp für Google Workspace-Bedrohungen, der MITRE ATT&CK-Framework-Eintrag für dieses Ergebnis und Details zu den Ereignissen beschrieben, die dieses Ergebnis auslösen. Sie können Logs auch mit bestimmten Filtern prüfen und alle Informationen kombinieren, um auf diesen Befund zu reagieren.

Event Threat Detection ist die Quelle dieses Ergebnisses.

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Dieses Ergebnis ist nicht verfügbar, wenn Sie Security Command Center auf Projektebene aktivieren.

Beschreibung Aktionen

Das Konto eines Mitglieds wurde aufgrund verdächtiger Aktivitäten gesperrt.

Dieses Konto wurde gehackt. Setzen Sie das Kontopasswort zurück und fordern Sie Nutzer auf, starke, eindeutige Passwörter für Unternehmenskonten zu erstellen.

Beschreibung	Aktionen
Das Konto eines Mitglieds wurde aufgrund verdächtiger Aktivitäten gesperrt.	Dieses Konto wurde gehackt. Setzen Sie das Kontopasswort zurück und fordern Sie Nutzer auf, starke, eindeutige Passwörter für Unternehmenskonten zu erstellen.	Prüfen Sie Logs mit den folgenden Filtern: `protopayload.resource.labels.service="login.googleapis.com"` `logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access` Ersetzen Sie `ORGANIZATION_ID` durch Ihre Organisations-ID.
Untersuchen Sie Ereignisse, die dieses Ergebnis auslösen: MITRE: https://attack.mitre.org/techniques/T1078/ Workspace-Ereignisdetails: https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#account_disabled_hijacked

Prüfen Sie Logs mit den folgenden Filtern:

protopayload.resource.labels.service="login.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

Untersuchen Sie Ereignisse, die dieses Ergebnis auslösen:

MITRE: https://attack.mitre.org/techniques/T1078/
Workspace-Ereignisdetails: https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#account_disabled_hijacked

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren

Erstzugriff: Konto deaktiviert – Gehackt Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Übersicht

Nächste Schritte

Erstzugriff: Konto deaktiviert – Gehackt