持久性：强身份验证被停用

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成相应的威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

如果您与 Cloud Logging 共享 Google Workspace 日志，则 Event Threat Detection 会针对多个 Google Workspace 威胁生成发现结果。由于 Google Workspace 日志处于组织级，因此只有当您在组织级激活 Security Command Center 时，Event Threat Detection 才能扫描这些日志。

Event Threat Detection 可以充实日志事件并将发现结果写入 Security Command Center。下表列出了 Google Workspace 威胁发现结果类型、与相应发现结果相关的 MITRE ATT&CK 框架条目，以及有关触发相应发现结果的事件的详细信息。您还可以通过特定的过滤条件来检查日志，并整合收集到的所有信息来对相应发现结果作出响应。

如果您是在项目级激活的 Security Command Center，则此发现结果不可用。

说明	操作
您的组织已停用两步验证。	您的组织不再需要两步验证。了解这是否是管理员有意更改的政策，或者这是攻击者试图简化账号盗用的行为。	使用以下过滤条件检查日志： protopayload.resource.labels.service="admin.googleapis.com" logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity 将 ORGANIZATION_ID 替换为您的组织 ID。
		触发此发现结果的研究事件： MITRE： https://attack.mitre.org/techniques/T1556/ Workspace 事件详情： https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-security-settings#ENFORCE_STRONG_AUTHENTICATION

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 查看威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看发现结果。
• 了解生成威胁发现结果的服务。