Acceso inicial: Usurpación de cuenta inhabilitada

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Si compartes tus registros de Google Workspace con Cloud Logging, Event Threat Detection genera hallazgos para varias amenazas de Google Workspace. Debido a que los registros de Google Workspace se encuentran a nivel de la organización, Event Threat Detection solo puede analizarlos si activas Security Command Center a nivel de la organización.

Event Threat Detection enriquece los eventos de registro y escribe los hallazgos en Security Command Center. En la siguiente tabla, se describe un tipo de resultado de amenaza de Google Workspace, la entrada del framework de MITRE ATT&CK relacionada con este resultado y detalles sobre los eventos que activan este resultado. También puedes verificar los registros con filtros específicos y combinar toda la información que recopiles para responder a este hallazgo.

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

Este hallazgo no está disponible si activas Security Command Center a nivel del proyecto.

Descripción	Acciones
Se suspendió la cuenta de un miembro debido a una actividad sospechosa.	Esta cuenta fue usurpada. Restablece la contraseña de la cuenta y alienta a los usuarios a crear contraseñas únicas y seguras para las cuentas corporativas.	Verifica los registros mediante los siguientes filtros: protopayload.resource.labels.service="login.googleapis.com" logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access Reemplaza ORGANIZATION_ID por el ID de tu organización.
		Eventos de investigación que activan este resultado: MITRE: https://attack.mitre.org/techniques/T1078/ Detalles del evento de Workspace: https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#account_disabled_hijacked

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.