중지된 계정 복원
Google Workspace 관리자가 중지된 사용자를 재활성화한 경우 탐지합니다.
쿼리
작업 이름이 UNSUSPEND_USER 에 해당되는 관리 작업 감사 로그를 실시간으로 탐지합니다.
| search action == "UNSUSPEND_USER"
| eval target_user = strjoin("\n", foreach(if(valueof(_1, "name") == "USER_EMAIL", valueof(_1, "value"), ""), params))
메시지
- 중지된 계정 복원: 관리자 $user, 대상 계정 $target_user
출력 필드 순서
- _log_time, src_ip, src_country, src_city, src_asn, user, action, target_user, req_params
위협 분석
- 일반적으로 아래와 같은 경우 사용자 계정이 사용 중지됩니다:
- 액세스를 일시적으로 차단하기 위해 관리자 또는 다른 관리자가 정지
- 사용자가 의심스러운 로그인 등 위험을 감지하여 Google 시스템에서 자동으로 정지
- 계정 한도를 초과하여 Gmail 계정 사용을 일시적으로 제한
- 피싱, 스팸 계정으로 판단되어 Gmail 계정에서 자동으로 정지
- 공격자가 일시 중지된 사용자 계정을 재활성화하여 리소스에 접근할 수 있습니다.
오탐 유형
- Google Workspace 관리자가 정상적으로 계정을 재활성화하는 경우에도 탐지됩니다. 그러나 계정 재활성화는 자주 발생하지 않으므로 오탐이 발생하더라도 탐지 정책을 유지하고 이벤트를 확인할 것을 권장합니다.
대응 방안
- 이전에 해당 사용자 계정이 비활성화된 이유를 먼저 확인하고, 재활성화가 정당한지 검토합니다.
- 재활성화된 계정의 최근 활동을 모니터링하여 의심스러운 행동이 있는지 확인합니다.
- 만약 의도된 재활성화가 아니라면, 관리자 계정이 침해된 것이므로 관리자 계정 및 재활성화된 계정을 일시 중지하여 차단하고 침해 경로를 조사합니다.
MITRE ATT&CK
- 전술
- Initial Access
- 기법
- 이름: Valid Accounts: Cloud Accounts
- ID: T1078.004
- 참조 URL: https://attack.mitre.org/techniques/T1078/004/