Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Persistenz: 2‑Faktor-Authentifizierung deaktiviert

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Wenn Sie Ihre Google Workspace-Logs für Cloud Logging freigeben, generiert Event Threat Detection Ergebnisse für mehrere Google Workspace-Bedrohungen. Da Google Workspace-Logs auf Organisationsebene vorliegen, kann Event Threat Detection sie nur scannen, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Event Threat Detection reichert Logereignisse an und schreibt Ergebnisse in Security Command Center. In der folgenden Tabelle werden ein Google Workspace-Ergebnistyp für Bedrohungen, der MITRE ATT&CK-Framework-Eintrag für dieses Ergebnis und Details zu den Ereignissen beschrieben, die dieses Ergebnis auslösen. Sie können Logs auch mit bestimmten Filtern prüfen und alle Informationen kombinieren, um auf diesen Befund zu reagieren.

Die Quelle dieses Ergebnisses ist Event Threat Detection.

Dieses Ergebnis ist nicht verfügbar, wenn Sie Security Command Center auf Projektebene aktivieren.

Beschreibung Aktionen

Ein Mitglied hat die Bestätigung in zwei Schritten deaktiviert.

Prüfen Sie, ob der Nutzer die Bestätigung in zwei Schritten deaktivieren wollte. Wenn Ihre Organisation die Bestätigung in zwei Schritten erfordert, sorgen Sie dafür, dass der Nutzer sie sofort aktiviert.

Beschreibung	Aktionen
Ein Mitglied hat die Bestätigung in zwei Schritten deaktiviert.	Prüfen Sie, ob der Nutzer die Bestätigung in zwei Schritten deaktivieren wollte. Wenn Ihre Organisation die Bestätigung in zwei Schritten erfordert, sorgen Sie dafür, dass der Nutzer sie sofort aktiviert.	Prüfen Sie Logs mit den folgenden Filtern: `protopayload.resource.labels.service="login.googleapis.com"` `logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access` Ersetzen Sie `ORGANIZATION_ID` durch Ihre Organisations-ID.
Untersuchen Sie Ereignisse, die dieses Ergebnis auslösen: MITRE: https://attack.mitre.org/techniques/T1556/006/ Workspace-Ereignisdetails: https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#2sv_disable

Prüfen Sie Logs mit den folgenden Filtern:

protopayload.resource.labels.service="login.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

Untersuchen Sie Ereignisse, die dieses Ergebnis auslösen:

MITRE: https://attack.mitre.org/techniques/T1556/006/
Workspace-Ereignisdetails: https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#2sv_disable

Beispiel für JSON-Ergebnis

Das folgende Beispiel zeigt das JSON für ein Ergebnis.

{
  "finding": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "resourceName": "//login.googleapis.com/organizations/ORGANIZATION_ID",
    "state": "ACTIVE",
    "category": "Persistence: Two Step Verification Disabled",
    "sourceProperties": {
      "sourceId": {
        "organizationNumber": "ORGANIZATION_ID",
        "customerOrganizationNumber": "ORGANIZATION_ID"
      },
      "detectionCategory": {
        "technique": "impair_defenses",
        "indicator": "audit_log",
        "ruleName": "two_step_verification_disabled"
      },
      "detectionPriority": "LOW",
      "affectedResources": [{
        "gcpResourceName": "//login.googleapis.com/organizations/ORGANIZATION_ID"
      }, {
        "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID"
      }],
      "evidence": [{
        "sourceLogId": {
          "resourceContainer": "organizations/ORGANIZATION_ID",
          "timestamp": {
            "seconds": "1626391356",
            "nanos": 5.96E8
          },
          "insertId": "INSERT_ID"
        }
      }],
      "properties": {
        "serviceName": "login.googleapis.com",
        "methodName": "google.login.LoginService.2svDisable",
        "ssoState": "UNKNOWN",
        "principalEmail": "PRINCIPAL_EMAIL"
      },
      "contextUris": {
        "mitreUri": {
          "displayName": "MITRE Link",
          "url": "https://attack.mitre.org/techniques/T1556/006/"
        },
        "cloudLoggingQueryUri": [{
          "displayName": "Cloud Logging Query Link",
          "url": "https://console.cloud.google.com/logs/query;query\u003dtimestamp%3D%222021-07-15T23:22:36.596Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\u003d"
        }],
        "workspacesUri": {
          "displayName": "Workspaces Link",
          "url": "https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login#2sv_disable"
        }
      }
    },
    "securityMarks": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
    },
    "eventTime": "2021-07-15T23:22:36.596Z",
    "createTime": "2021-07-15T23:22:40.079Z",
    "severity": "LOW",
    "workflowState": "NEW",
    "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "findingClass": "THREAT",
    "indicator": {
    }
  },
  "resource": {
    "name": "//login.googleapis.com/organizations/ORGANIZATION_ID"
  }
}

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsergebnisse generieren