Acceso inicial: contraseña filtrada inhabilitada

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Si compartes tus registros de Google Workspace con Cloud Logging, Event Threat Detection generará detecciones de varias amenazas de Google Workspace. Como los registros de Google Workspace están a nivel de organización, Event Threat Detection solo puede analizarlos si activas Security Command Center a nivel de organización.

Event Threat Detection enriquece los eventos de registro y escribe los resultados en Security Command Center. En la siguiente tabla se describe un tipo de detección de amenazas de Google Workspace, la entrada del framework MITRE ATT&CK relacionada con esta detección y los detalles sobre los eventos que la activan. También puedes consultar los registros mediante filtros específicos y combinar toda la información que recojas para responder a este resultado.

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

Esta detección no está disponible si activas Security Command Center a nivel de proyecto.

Descripción	Acciones
La cuenta de un miembro se ha inhabilitado porque se ha detectado una filtración de contraseña.	Restablece las contraseñas de las cuentas afectadas y recomienda a los miembros que usen contraseñas seguras y únicas para las cuentas corporativas.	Consulta los registros con los siguientes filtros: protopayload.resource.labels.service="login.googleapis.com" logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access Sustituye ORGANIZATION_ID por el ID de tu organización.
		Investiga los eventos que activan este resultado: MITRE: https://attack.mitre.org/techniques/T1078/ Detalles del evento de Workspace: https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#account_disabled_password_leak

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.