Accès initial : fuite de mot de passe - désactivé

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Si vous partagez vos journaux Google Workspace avec Cloud Logging, Event Threat Detection génère des résultats pour plusieurs menaces Google Workspace. Étant donné que les journaux Google Workspace sont au niveau de l'organisation, Event Threat Detection ne peut les analyser que si Security Command Center est activé à ce niveau.

Event Threat Detection enrichit les événements des journaux et écrit les résultats dans Security Command Center. Le tableau suivant décrit un type de résultat de menace Google Workspace, l'entrée du framework MITRE ATT&CK associée à ce résultat et des informations sur les événements qui déclenchent ce résultat. Vous pouvez également examiner les journaux à l'aide de filtres spécifiques et regrouper l’ensemble des informations collectées afin de traiter ce résultat.

Event Threat Detection est la source de ce résultat.

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.

Ce résultat n'est pas disponible si vous activez Security Command Center au niveau du projet.

Description	Actions
Le compte d'un membre est désactivé, car une fuite de mot de passe a été détectée.	Réinitialisez les mots de passe des comptes concernés et conseillez aux membres de choisir des mots de passe uniques et sécurisés pour les comptes professionnels.	Examinez les journaux à l'aide des filtres suivants : protopayload.resource.labels.service="login.googleapis.com" logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access Remplacez ORGANIZATION_ID par votre ID d'organisation.
		Événements de recherche qui déclenchent ce résultat : MITRE : https://attack.mitre.org/techniques/T1078/ Détails de l'événement Workspace : https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#account_disabled_password_leak

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
• Consultez l'index des résultats de détection de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.