Acesso inicial: conta desativada roubada

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Se partilhar os seus registos do Google Workspace com o Cloud Logging, a Deteção de ameaças de eventos gera resultados para várias ameaças do Google Workspace. Uma vez que os registos do Google Workspace estão ao nível da organização, a Deteção de ameaças de eventos só os pode analisar se ativar o Security Command Center ao nível da organização.

A Deteção de ameaças de eventos enriquece os eventos de registo e escreve as conclusões no Security Command Center. A tabela seguinte descreve um tipo de deteção de ameaças do Google Workspace, a entrada da estrutura MITRE ATT&CK relacionada com esta deteção e detalhes sobre os eventos que acionam esta deteção. Também pode verificar os registos através de filtros específicos e combinar todas as informações recolhidas para responder a esta descoberta.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

Esta descoberta não está disponível se ativar o Security Command Center ao nível do projeto.

Descrição	Ações
A conta de um membro foi suspensa devido a atividade suspeita.	Esta conta foi roubada. Reponha a palavra-passe da conta e incentive os utilizadores a criarem palavras-passe fortes e únicas para contas empresariais.	Verifique os registos através dos seguintes filtros: protopayload.resource.labels.service="login.googleapis.com" logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access Substitua ORGANIZATION_ID pelo ID da sua organização.
		Investigue os eventos que acionam esta descoberta: MITRE: https://attack.mitre.org/techniques/T1078/ Detalhes do evento do Workspace: https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#account_disabled_hijacked

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.