このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。
概要
Google Workspace のログを Cloud Logging と共有すると、Event Threat Detection は複数の Google Workspace の脅威に対して検出結果を生成できます。Google Workspace のログは組織レベルであるため、組織レベルで Security Command Center を有効にした場合のみ、Event Threat Detection がスキャンを実行します。
Event Threat Detection はログイベントを拡充し、検出結果を Security Command Center に書き込みます。次の表に、Google Workspace の脅威の検出結果タイプ、この検出結果に関連する MITRE ATT&CK フレームワークのエントリ、この検出結果をトリガーするイベントの詳細を示します。特定のフィルタを使用してログを調べたり、収集したすべての情報を組み合わせてこの検出結果に対応することもできます。
プロジェクト レベルで Security Command Center を有効にした場合、この検出結果は使用できません。
| 説明 | 操作 | |
|---|---|---|
| 管理者アカウントで [SSO(シングル サインオン)の有効化] 設定が無効になりました。 | 組織の SSO の設定が変更されました。この変更がメンバーによって意図的に行われたものか、攻撃者が新しい経路で組織に行ったものかを確認します。 |
次のフィルタを使用してログを確認します。
次のように置き換えます。
|
|
この検出結果をトリガーするイベントの調査結果: |
||
次のステップ
- Security Command Center で脅威の検出結果を操作する方法を学習する。
- 脅威の検出結果のインデックスを確認する。
- Google Cloud コンソールで検出結果を確認する方法を学習する。
- 脅威の検出結果を生成するサービスについて学習する。