Accès initial : fuite de mot de passe - désactivé

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Si vous partagez vos journaux Google Workspace avec Cloud Logging, Event Threat Detection génère des résultats pour plusieurs menaces Google Workspace. Les journaux Google Workspace étant au niveau de l'organisation, Event Threat Detection ne peut les analyser que si vous activez Security Command Center au niveau de l'organisation.

Event Threat Detection enrichit les événements des journaux et écrit les résultats dans Security Command Center. Le tableau suivant décrit un type de résultat de menace Google Workspace, l'entrée du framework MITRE ATT&CK associée à ce résultat et des informations sur les événements qui déclenchent ce résultat. Vous pouvez également vérifier les journaux à l'aide de filtres spécifiques et combiner toutes les informations que vous collectez pour répondre à ce résultat.

Event Threat Detection est la source de ce résultat.

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

Ce résultat n'est pas disponible si vous activez Security Command Center au niveau du projet.

Description	Actions
Le compte d'un membre est désactivé, car une fuite de mot de passe a été détectée.	Réinitialisez les mots de passe des comptes concernés et conseillez aux membres de choisir des mots de passe uniques et sécurisés pour les comptes professionnels.	Vérifiez les journaux à l'aide des filtres suivants : protopayload.resource.labels.service="login.googleapis.com" logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access Remplacez ORGANIZATION_ID par votre ID d'organisation.
		Événements de recherche qui déclenchent ce résultat : MITRE : https://attack.mitre.org/techniques/T1078/ Détails de l'événement Workspace : https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#account_disabled_password_leak

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats sur les menaces.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces