Rechteausweitung: Überprivilegierte Berechtigung für AlloyDB

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Einem oder mehreren Datenbanknutzern wurden alle Berechtigungen für eine AlloyDB for PostgreSQL-Datenbank (oder alle Funktionen oder Prozeduren in einer Datenbank) gewährt.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

  1. Öffnen Sie das Privilege Escalation: AlloyDB Over-Privileged Grant-Ergebnis, wie unter Ergebnisse prüfen beschrieben.

  2. Sehen Sie sich im Bereich „Ergebnisdetails“ auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

    • Was wurde erkannt?, insbesondere die folgenden Felder:
      • Anzeigename der Datenbank: Der Name der Datenbank in der betroffenen AlloyDB for PostgreSQL-Instanz.
      • Datenbanknutzername: Der PostgreSQL-Nutzer, der übermäßige Berechtigungen gewährt hat.
      • Datenbankabfrage: Die ausgeführte PostgreSQL-Abfrage, mit der die Berechtigungen erteilt wurden.
      • Empfänger von Datenbanken: die Empfänger der zu weit gefassten Berechtigungen.
    • Betroffene Ressource, insbesondere die folgenden Felder:
      • Vollständiger Ressourcenname: Der Ressourcenname der betroffenen AlloyDB for PostgreSQL-Instanz.
      • Vollständiger Name des übergeordneten Elements: Der Ressourcenname der AlloyDB for PostgreSQL-Instanz.
      • Vollständiger Projektname: Das Google Cloud Projekt, das die AlloyDB for PostgreSQL-Instanz enthält.
    • Weitere Informationen, insbesondere die folgenden Felder:
      • Cloud Logging-URI: Link zu Logging-Einträgen.
      • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.

  3. Klicken Sie auf den Tab JSON, um das vollständige JSON für das Ergebnis aufzurufen.

Schritt 2: Datenbankberechtigungen prüfen

  1. Verbindung zur AlloyDB for PostgreSQL-Instanz herstellen
  2. Zugriffsberechtigungen auflisten und anzeigen für Folgendes:
    • Datenbanken. Verwenden Sie den Metacommand \l oder \list und prüfen Sie, welche Berechtigungen für die Datenbank zugewiesen sind, die unter Anzeigename der Datenbank (aus Schritt 1) aufgeführt ist.
    • Funktionen oder Prozeduren. Verwenden Sie den Metacommand \df und prüfen Sie, welche Berechtigungen für Funktionen oder Prozeduren in der Datenbank zugewiesen sind, die in Database display name (aus Schritt 1) aufgeführt ist.

Schritt 3: Protokolle prüfen

  1. Rufen Sie in der Google Cloud Console den Log-Explorer auf. Klicken Sie dazu auf den Link in Cloud Logging URI (aus Schritt 1). Die Seite Log-Explorer enthält alle Logs, die sich auf die relevante Cloud SQL-Instanz beziehen.
  2. Prüfen Sie im Log-Explorer die PostgreSQL-pgaudit-Logs, in denen ausgeführte Abfragen an die Datenbank aufgezeichnet werden. Verwenden Sie dazu die folgenden Filter:
    • protoPayload.request.database="var class="edit">database"

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

  1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Exfiltration Over Web Service.
  2. Um festzustellen, ob zusätzliche Schritte zur Abhilfe erforderlich sind, kombinieren Sie Ihre Untersuchungsergebnisse mit der MITRE-Forschung.

Schritt 5: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

  • Wenden Sie sich an den Inhaber der Instanz mit überprivilegierten Berechtigungen.
  • Ziehen Sie in Betracht, alle Berechtigungen für die in Datenbankberechtigte aufgeführten Berechtigten zu widerrufen, bis die Untersuchung abgeschlossen ist.
  • Um den Zugriff auf die Datenbank (aus Anzeigename der Datenbank in Schritt 1) zu beschränken, widerrufen Sie unnötige Berechtigungen von den Berechtigten (aus Berechtigte für die Datenbank in Schritt 1).

Nächste Schritte