持久性：单点登录设置发生了更改

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

如果您与 Cloud Logging 共享 Google Workspace 日志，则 Event Threat Detection 会针对多个 Google Workspace 威胁生成发现结果。由于 Google Workspace 日志处于组织级，因此只有当您在组织级激活 Security Command Center 时，Event Threat Detection 才能扫描这些日志。

Event Threat Detection 可以充实日志事件并将发现结果写入 Security Command Center。下表介绍了 Google Workspace 威胁发现结果类型、与此发现结果相关的 MITRE ATT&CK 框架条目，以及有关触发此发现结果的事件的详细信息。您还可以使用特定过滤条件检查日志，并合并收集到的所有信息来应对此发现。

如果您在项目级层激活 Security Command Center，则无法使用此发现结果。

说明	操作
管理员账号的 SSO 设置已更改。	您的组织的单点登录设置发生了更改。验证更改是否是由成员有意进行的，或者是否是攻击者为引入对您的组织的新访问权限而实施的。	使用以下过滤条件检查日志： protopayload.resource.labels.service="admin.googleapis.com" protopayload.metadata.event.parameter.value=DOMAIN_NAME logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity 替换以下内容： DOMAIN_NAME：发现结果中列出的 domainName ORGANIZATION_ID：您的组织 ID。
		触发此发现结果的研究事件： MITRE： https://attack.mitre.org/techniques/T1098/ Workspace 事件详情： https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-domain-settings#CHANGE_SSO_SETTINGS

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看检测结果。
• 了解生成威胁发现结果的服务。