Filtración externa: filtración externa de datos de Cloud SQL

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

La exfiltración de datos de Cloud SQL se detecta examinando los registros de auditoría en dos casos:

• Datos de instancias activas exportados a un segmento de Cloud Storage fuera de la organización.
• Datos de instancias activas exportados a un segmento de Cloud Storage que es propiedad de la organización y al que se puede acceder públicamente.

Se admiten todos los tipos de instancias de Cloud SQL.

En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, esta detección solo está disponible si el nivel Standard está habilitado en la organización principal.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre un Exfiltration: Cloud SQL Data Exfiltration hallazgo siguiendo las instrucciones de Revisar hallazgos. Se abrirá el panel de detalles del resultado en la pestaña Resumen.

2. En la pestaña Resumen, consulte la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • Correo principal : la cuenta que se ha usado para extraer los datos.
     • Fuentes de exfiltración: detalles sobre la instancia de Cloud SQL cuyos datos se han exfiltrado.
     • Destinos de exfiltración: detalles sobre el segmento de Cloud Storage al que se exportaron los datos.
   • Recurso afectado, especialmente los siguientes campos:
     • Nombre completo del recurso: nombre del recurso de Cloud SQL cuyos datos se han filtrado.
     • Nombre completo del proyecto: el Google Cloud proyecto que contiene los datos de Cloud SQL de origen.
   • Enlaces relacionados, como los siguientes:
     • URI de Cloud Logging: enlace a las entradas de registro.
     • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: enlaces a los hallazgos relacionados.

3. Haz clic en la pestaña JSON.

4. En el JSON del hallazgo, fíjate en los siguientes campos:

   • sourceProperties:
     • evidence:
     • sourceLogId:
       • projectId: el Google Cloud proyecto que contiene la instancia de Cloud SQL de origen.
     • properties
     • bucketAccess: si el segmento de Cloud Storage es accesible públicamente o externo a la organización
     • exportScope: cantidad de datos exportados (por ejemplo, toda la instancia, una o varias bases de datos, una o varias tablas o un subconjunto especificado por una consulta).

Paso 2: Revisa los permisos y la configuración

1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

   Ir a IAM

2. Si es necesario, selecciona el proyecto de la instancia que aparece en el campo projectId del JSON del resultado (del paso 1).

3. En la página que aparece, en el cuadro Filtro, introduce la dirección de correo que figura en la fila Correo principal de la pestaña Resumen de los detalles de la detección (del paso 1). Comprueba qué permisos se han asignado a la cuenta.

Paso 3: Consulta los registros

1. En la Google Cloud consola, ve a Explorador de registros haciendo clic en el enlace de URI de Cloud Logging (del paso 1). La página Explorador de registros incluye todos los registros relacionados con la instancia de Cloud SQL correspondiente.

Paso 4: Investiga los métodos de ataque y respuesta

1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de alerta: Exfiltración a través de un servicio web: exfiltración a Cloud Storage.
2. Consulta los hallazgos relacionados haciendo clic en el enlace de la fila Hallazgos relacionados, que se describe en el paso 1. Las detecciones relacionadas tienen el mismo tipo de detección en la misma instancia de Cloud SQL.
3. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

• Ponte en contacto con el propietario del proyecto con datos filtrados.
• Considera la posibilidad de revocar los permisos de access.principalEmail hasta que se complete la investigación.
• Para detener la exfiltración, añade políticas de gestión de identidades y accesos restrictivas a las instancias de Cloud SQL afectadas.
  • MySQL
  • PostgreSQL
  • SQL Server
• Para limitar el acceso a la API de administración de Cloud SQL y la exportación desde ella, usa Controles de Servicio de VPC.
• Para identificar y corregir roles demasiado permisivos, usa Recomendador de IAM.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.