Cette page a été traduite par l'API Cloud Translation.

Persistance : activer/désactiver l'authentification unique

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Si vous partagez vos journaux Google Workspace avec Cloud Logging, Event Threat Detection génère des résultats pour plusieurs menaces Google Workspace. Les journaux Google Workspace étant au niveau de l'organisation, Event Threat Detection ne peut les analyser que si vous activez Security Command Center au niveau de l'organisation.

Event Threat Detection enrichit les événements des journaux et écrit les résultats dans Security Command Center. Le tableau suivant décrit un type de résultat de menace Google Workspace, l'entrée du framework MITRE ATT&CK associée à ce résultat et des informations sur les événements qui déclenchent ce résultat. Vous pouvez également vérifier les journaux à l'aide de filtres spécifiques et combiner toutes les informations que vous collectez pour répondre à ce résultat.

Ce résultat n'est pas disponible si vous activez Security Command Center au niveau du projet.

Description Actions

Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur.

Les paramètres SSO de votre organisation ont été modifiés. Vérifiez si la modification a été effectuée intentionnellement par un membre ou si elle a été mise en œuvre par une personne mal intentionnée pour créer un nouvel accès à votre organisation.

Description	Actions
Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur.	Les paramètres SSO de votre organisation ont été modifiés. Vérifiez si la modification a été effectuée intentionnellement par un membre ou si elle a été mise en œuvre par une personne mal intentionnée pour créer un nouvel accès à votre organisation.	Vérifiez les journaux à l'aide des filtres suivants : `protopayload.resource.labels.service="admin.googleapis.com"` `protopayload.metadata.event.parameter.value=DOMAIN_NAME` `logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity` Remplacez les éléments suivants : `DOMAIN_NAME` : valeur `domainName` répertoriée dans le résultat `ORGANIZATION_ID` : ID de votre organisation.
Événements de recherche qui déclenchent ce résultat : MITRE : https://attack.mitre.org/techniques/T1098/ Détails de l'événement Workspace : https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-domain-settings#TOGGLE_SSO_ENABLED

Vérifiez les journaux à l'aide des filtres suivants :

protopayload.resource.labels.service="admin.googleapis.com"

protopayload.metadata.event.parameter.value=DOMAIN_NAME

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

Remplacez les éléments suivants :

DOMAIN_NAME : valeur domainName répertoriée dans le résultat
ORGANIZATION_ID : ID de votre organisation.

Événements de recherche qui déclenchent ce résultat :

MITRE : https://attack.mitre.org/techniques/T1098/
Détails de l'événement Workspace : https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-domain-settings#TOGGLE_SSO_ENABLED

Étapes suivantes

Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
Consultez l'index des résultats de menace.
Découvrez comment examiner un résultat dans la console Google Cloud .
En savoir plus sur les services qui génèrent des résultats de détection des menaces

Persistance : activer/désactiver l'authentification unique Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Présentation

Étapes suivantes

Persistance : activer/désactiver l'authentification unique