Persistencia: Autenticación segura inhabilitada

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Si compartes tus registros de Google Workspace con Cloud Logging, Event Threat Detection genera hallazgos para varias amenazas de Google Workspace. Debido a que los registros de Google Workspace se encuentran a nivel de la organización, Event Threat Detection solo puede analizarlos si activas Security Command Center a nivel de la organización.

Event Threat Detection enriquece los eventos de registro y escribe los hallazgos en Security Command Center. En la siguiente tabla, se describe un tipo de resultado de amenaza de Google Workspace, la entrada del framework de MITRE ATT&CK relacionada con este resultado y detalles sobre los eventos que activan este resultado. También puedes verificar los registros con filtros específicos y combinar toda la información que recopiles para responder a este hallazgo.

Este hallazgo no está disponible si activas Security Command Center a nivel del proyecto.

Descripción Acciones
Se inhabilitó la verificación en dos pasos para la organización. La verificación en dos pasos ya no es necesaria para tu organización. Averigua si se trata de un cambio de política intencional por parte de un administrador o si se trata de un intento de un adversario para facilitar la usurpación de una cuenta.

Verifica los registros mediante los siguientes filtros:

protopayload.resource.labels.service="admin.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

Reemplaza ORGANIZATION_ID por el ID de tu organización.

Eventos de investigación que activan este resultado:

¿Qué sigue?