持續性：兩步驟驗證已停用

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

如果您與 Cloud Logging 共用 Google Workspace 記錄，Event Threat Detection 會針對多種 Google Workspace 威脅產生調查結果。由於 Google Workspace 記錄檔位於機構層級，因此只有在機構層級啟用 Security Command Center 時，Event Threat Detection 才能掃描這些記錄檔。

Event Threat Detection 會擴充記錄事件，並將發現結果寫入 Security Command Center。下表說明 Google Workspace 威脅發現類型、與這項發現相關的 MITRE ATT&CK 架構項目，以及觸發這項發現的事件詳細資料。您也可以使用特定篩選器檢查記錄，並整合收集到的所有資訊，以便回應這項發現。

如果您在專案層級啟用 Security Command Center，則無法使用這項發現項目。

說明	動作
有成員停用了兩步驟驗證。	確認使用者是否打算停用兩步驟驗證。 如果貴機構要求使用兩步驟驗證，請確保使用者及時啟用這項功能。	使用下列篩選器檢查記錄： protopayload.resource.labels.service="login.googleapis.com" logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access 將 ORGANIZATION_ID 替換為機構 ID。
		研究觸發這項發現的事件： MITRE： https://attack.mitre.org/techniques/T1556/006/ Workspace 事件詳細資料： https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#2sv_disable

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。