Persistencia: Activación o desactivación de SSO

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

Si compartes tus registros de Google Workspace con Cloud Logging, Event Threat Detection genera hallazgos para varias amenazas de Google Workspace. Debido a que los registros de Google Workspace se encuentran a nivel de la organización, Event Threat Detection solo puede analizarlos si activas Security Command Center a nivel de la organización.

Event Threat Detection enriquece los eventos de registro y escribe los hallazgos en Security Command Center. En la siguiente tabla, se describe un tipo de hallazgo de amenaza de Google Workspace, la entrada del framework de MITRE ATT&CK relacionada con este hallazgo y detalles sobre los eventos que lo activan. También puedes comprobar los registros con filtros específicos y combinar toda la información que recopiles para responder a este hallazgo.

Event Threat Detection es la fuente de este hallazgo.

Este hallazgo no está disponible si activas Security Command Center a nivel del proyecto.

Descripción Acciones

Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador.

Se cambió la configuración del SSO de tu organización. Verifica si el cambio lo realizó de manera intencional un miembro o si un adversario lo implementó para agregar un nuevo acceso en tu organización.

Descripción	Acciones
Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador.	Se cambió la configuración del SSO de tu organización. Verifica si el cambio lo realizó de manera intencional un miembro o si un adversario lo implementó para agregar un nuevo acceso en tu organización.	Comprueba los registros con los siguientes filtros: `protopayload.resource.labels.service="admin.googleapis.com"` `protopayload.metadata.event.parameter.value=DOMAIN_NAME` `logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity` Reemplaza lo siguiente: `DOMAIN_NAME`: Es el `domainName` que se muestra en el hallazgo. `ORGANIZATION_ID`: Es el ID de tu organización.
Investiga los eventos que activan este hallazgo: MITRE: https://attack.mitre.org/techniques/T1098/ Detalles del evento de Workspace: https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-domain-settings#TOGGLE_SSO_ENABLED

Comprueba los registros con los siguientes filtros:

protopayload.resource.labels.service="admin.googleapis.com"

protopayload.metadata.event.parameter.value=DOMAIN_NAME

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

Reemplaza lo siguiente:

DOMAIN_NAME: Es el domainName que se muestra en el hallazgo.
ORGANIZATION_ID: Es el ID de tu organización.

Investiga los eventos que activan este hallazgo:

MITRE: https://attack.mitre.org/techniques/T1098/
Detalles del evento de Workspace: https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-domain-settings#TOGGLE_SSO_ENABLED

¿Qué sigue?

Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de hallazgos de amenazas.
Aprende a revisar un hallazgo con la consola de Google Cloud .
Obtén información sobre los servicios que generan hallazgos de amenazas.

Persistencia: Activación o desactivación de SSO Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Descripción general

¿Qué sigue?

Persistencia: Activación o desactivación de SSO