持續性：單一登入 (SSO) 啟用切換開關

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

如果您與 Cloud Logging 共用 Google Workspace 記錄，Event Threat Detection 會針對多種 Google Workspace 威脅產生調查結果。由於 Google Workspace 記錄檔位於機構層級，因此只有在機構層級啟用 Security Command Center 時，Event Threat Detection 才能掃描這些記錄檔。

Event Threat Detection 會擴充記錄事件，並將發現結果寫入 Security Command Center。下表說明 Google Workspace 威脅發現類型、與這項發現相關的 MITRE ATT&CK 架構項目，以及觸發這項發現的事件詳細資料。您也可以使用特定篩選器檢查記錄，並整合收集到的所有資訊，以便回應這項發現。

如果您在專案層級啟用 Security Command Center，就無法使用這項發現項目。

說明	動作
管理員帳戶的「啟用 SSO (單一登入)」設定已停用。	貴機構的單一登入 (SSO) 設定已變更。確認變更是否為成員有意為之，或是由攻擊者實施，以便為貴機構導入新的存取權。	使用下列篩選器檢查記錄： protopayload.resource.labels.service="admin.googleapis.com" protopayload.metadata.event.parameter.value=DOMAIN_NAME logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity 取代下列項目： DOMAIN_NAME：發現結果中列出的 domainName ORGANIZATION_ID：您的機構 ID
		研究觸發這項發現的事件： MITRE： https://attack.mitre.org/techniques/T1098/ Workspace 事件詳細資料： https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-domain-settings#TOGGLE_SSO_ENABLED

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。