Escalation dei privilegi: concessione con privilegi in eccesso per AlloyDB

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Tutti i privilegi su un database AlloyDB per PostgreSQL (o tutte le funzioni o procedure in un database) sono stati concessi a uno o più utenti del database.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

  1. Apri il Privilege Escalation: AlloyDB Over-Privileged Grant risultato come indicato in Revisione dei risultati.

  2. Nella scheda Riepilogo del riquadro dei dettagli del risultato, esamina le informazioni nelle seguenti sezioni:

    • Che cosa è stato rilevato, in particolare i seguenti campi:
      • Nome visualizzato database: il nome del database nell'istanza AlloyDB per PostgreSQL interessata.
      • Nome utente del database: l'utente PostgreSQL che ha concesso privilegi eccessivi.
      • Query del database: la query PostgreSQL eseguita che ha concesso i privilegi.
      • Beneficiari database: i beneficiari dei privilegi eccessivi.
    • Risorsa interessata, in particolare i seguenti campi:
      • Nome completo risorsa: il nome della risorsa dell'istanza AlloyDB per PostgreSQL interessata.
      • Nome completo del genitore: il nome della risorsa dell'istanza AlloyDB per PostgreSQL.
      • Nome completo del progetto: il Google Cloud progetto che contiene l'istanza AlloyDB per PostgreSQL.
    • Link correlati, in particolare i seguenti campi:
      • URI Cloud Logging: link alle voci di log.
      • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.

  3. Per visualizzare il JSON completo del risultato, fai clic sulla scheda JSON.

Passaggio 2: esamina i privilegi del database

  1. Connettiti all'istanza AlloyDB per PostgreSQL.
  2. Elenca e mostra i privilegi di accesso per quanto segue:
    • Database. Utilizza il metacomando \l o \list e controlla quali privilegi sono assegnati per il database elencato in Nome visualizzato del database (dal passaggio 1).
    • Funzioni o procedure. Utilizza il metacomando \df e controlla quali privilegi sono assegnati alle funzioni o alle procedure nel database elencato in Nome visualizzato del database (dal passaggio 1).

Passaggio 3: controlla i log

  1. Nella console Google Cloud , vai a Esplora log facendo clic sul link in URI Cloud Logging (dal passaggio 1). La pagina Explorer log include tutti i log relativi all'istanza Cloud SQL pertinente.
  2. In Esplora log, controlla i log PostgreSQL pgaudit, che registrano le query eseguite sul database, utilizzando i seguenti filtri:
    • protoPayload.request.database="var class="edit">database"

Passaggio 4: ricerca di metodi di attacco e risposta

  1. Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Exfiltration Over Web Service.
  2. Per determinare se sono necessari ulteriori passaggi di correzione, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 5: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

  • Contatta il proprietario dell'istanza con concessioni con privilegi eccessivi.
  • Valuta la possibilità di revocare tutte le autorizzazioni per i beneficiari elencati in Beneficiari del database fino al completamento dell'indagine.
  • Per limitare l'accesso al database (dal Nome visualizzato del database del passaggio 1), revoca le autorizzazioni non necessarie dai beneficiari (dal campo Beneficiari del database del passaggio 1).

Passaggi successivi