Accès initial : connexion suspecte - bloqué

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Si vous partagez vos journaux Google Workspace avec Cloud Logging, Event Threat Detection génère des résultats pour plusieurs menaces Google Workspace. Les journaux Google Workspace étant au niveau de l'organisation, Event Threat Detection ne peut les analyser que si vous activez Security Command Center au niveau de l'organisation.

Event Threat Detection enrichit les événements des journaux et écrit les résultats dans Security Command Center. Le tableau suivant décrit un type de résultat de menace Google Workspace, l'entrée du framework MITRE ATT&CK associée à ce résultat et des informations sur les événements qui déclenchent ce résultat. Vous pouvez également vérifier les journaux à l'aide de filtres spécifiques et combiner toutes les informations que vous collectez pour répondre à ce résultat.

Event Threat Detection est la source de ce résultat.

Ce résultat n'est pas disponible si vous activez Security Command Center au niveau du projet.

Description Actions
Une connexion suspecte au compte d'un membre a été détectée et bloquée. Ce compte peut être ciblé par des personnes mal intentionnées. Assurez-vous que le compte utilisateur respecte les consignes de sécurité de votre organisation concernant les mots de passe sécurisés et l'authentification multifacteur.

Vérifiez les journaux à l'aide des filtres suivants :

protopayload.resource.labels.service="login.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Remplacez ORGANIZATION_ID par votre ID d'organisation.

Événements de recherche qui déclenchent ce résultat :

Étapes suivantes