Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Acceso inicial: Filtrado de contraseña inhabilitada

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

Si compartes tus registros de Google Workspace con Cloud Logging, Event Threat Detection generará hallazgos para varias amenazas de Google Workspace. Debido a que los registros de Google Workspace se encuentran a nivel de la organización, Event Threat Detection solo puede analizarlos si activas Security Command Center a nivel de la organización.

Event Threat Detection enriquece los eventos de registro y escribe los hallazgos en Security Command Center. En la tabla siguiente, se describe un tipo de hallazgo de amenaza de Google Workspace, la entrada del framework MITRE ATT&CK relacionada con este hallazgo y detalles sobre los eventos que lo activan. También puedes comprobar los registros con filtros específicos y combinar toda la información que recopiles para responder a este hallazgo.

Event Threat Detection es la fuente de este hallazgo.

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas durante la investigación para determinar la mejor manera de resolver los hallazgos.

Este hallazgo no está disponible si activas Security Command Center a nivel del proyecto.

Descripción Acciones

Se inhabilitó la cuenta de un miembro porque se detectó un filtrado de contraseñas.

Restablece las contraseñas de las cuentas afectadas y recomienda a los miembros que usen contraseñas seguras y únicas para las cuentas corporativas.

Descripción	Acciones
Se inhabilitó la cuenta de un miembro porque se detectó un filtrado de contraseñas.	Restablece las contraseñas de las cuentas afectadas y recomienda a los miembros que usen contraseñas seguras y únicas para las cuentas corporativas.	Verifica los registros mediante los siguientes filtros: `protopayload.resource.labels.service="login.googleapis.com"` `logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access` Reemplaza `ORGANIZATION_ID` por el ID de tu organización.
Investiga los eventos que activan este hallazgo: MITRE: https://attack.mitre.org/techniques/T1078/ Detalles del evento de Workspace: https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#account_disabled_password_leak

Verifica los registros mediante los siguientes filtros:

protopayload.resource.labels.service="login.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Reemplaza ORGANIZATION_ID por el ID de tu organización.

Investiga los eventos que activan este hallazgo:

MITRE: https://attack.mitre.org/techniques/T1078/
Detalles del evento de Workspace: https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#account_disabled_password_leak

Ejemplo de JSON de hallazgo

El siguiente es un ejemplo del JSON de hallazgo.

{
  "finding": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "resourceName": "//login.googleapis.com/organizations/ORGANIZATION_ID",
    "state": "ACTIVE",
    "category": "Initial Access: Disabled Password Leak",
    "sourceProperties": {
      "sourceId": {
        "organizationNumber": "ORGANIZATION_ID",
        "customerOrganizationNumber": "ORGANIZATION_ID"
      },
      "detectionCategory": {
        "technique": "valid_accounts",
        "indicator": "audit_log",
        "ruleName": "disabled_password_leak"
      },
      "detectionPriority": "LOW",
      "affectedResources": [{
        "gcpResourceName": "//login.googleapis.com/organizations/ORGANIZATION_ID"
      }, {
        "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID"
      }],
      "evidence": [{
        "sourceLogId": {
          "resourceContainer": "organizations/ORGANIZATION_ID",
          "timestamp": {
            "seconds": "1626462896",
            "nanos": 6.81E8
          },
          "insertId": "INSERT_ID"
        }
      }],
      "properties": {
        "serviceName": "login.googleapis.com",
        "methodName": "google.login.LoginService.accountDisabledPasswordLeak",
        "ssoState": "UNKNOWN",
        "principalEmail": "PRINCIPAL_EMAIL"
      },
      "contextUris": {
        "mitreUri": {
          "displayName": "MITRE Link",
          "url": "https://attack.mitre.org/techniques/T1078/"
        },
        "cloudLoggingQueryUri": [{
          "displayName": "Cloud Logging Query Link",
          "url": "https://console.cloud.google.com/logs/query;query\u003dtimestamp%3D%222021-07-16T19:14:56.681Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\u003d"
        }],
        "workspacesUri": {
          "displayName": "Workspaces Link",
          "url": "https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#account_disabled_password_leak"
        }
      }
    },
    "securityMarks": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
    },
    "eventTime": "2021-07-16T19:14:56.681Z",
    "createTime": "2021-07-16T19:15:00.430Z",
    "severity": "LOW",
    "workflowState": "NEW",
    "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "findingClass": "THREAT",
    "indicator": {
    }
  },
  "resource": {
    "name": "//login.googleapis.com/organizations/ORGANIZATION_ID"
  }
}

¿Qué sigue?

Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de hallazgos de amenazas.
Aprende a revisar un hallazgo con la consola de Google Cloud .
Obtén información sobre los servicios que generan hallazgos de amenazas.