Exfiltração: exfiltração de dados do Cloud SQL

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

A exfiltração de dados do Cloud SQL é detectada examinando registros de auditoria para dois cenários:

• Dados de instâncias ativas exportados para um bucket do Cloud Storage fora da organização.
• Dados de instâncias ativas exportados para um bucket do Cloud Storage de propriedade da organização e acessível publicamente.

Todos os tipos de instâncias do Cloud SQL têm suporte.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Exfiltration: Cloud SQL Data Exfiltration, conforme direcionado em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
     • E-mail principal: a conta usada para exfiltrar os dados.
     • Origens de exfiltração: detalhes sobre a instância do Cloud SQL com dados exfiltrados.
     • Destinos de exfiltração: detalhes sobre o bucket do Cloud Storage para o qual os dados foram exportados.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome do recurso do Cloud SQL com dados exfiltrados.
     • Nome completo do projeto: o projeto do Google Cloud que contém os dados de origem do Cloud SQL.
   • Links relacionados, incluindo:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

3. Clique na guia JSON.

4. No JSON da descoberta, observe os seguintes campos:

   • sourceProperties:
     • evidence:
     • sourceLogId:
       • projectId: o projeto Google Cloud que contém a instância de origem do Cloud SQL.
     • properties
     • bucketAccess: se o bucket do Cloud Storage for acessível publicamente ou externo à organização
     • exportScope: a quantidade de dados exportados (por exemplo, toda a instância, um ou mais bancos de dados, uma ou mais tabelas ou um subconjunto especificado por uma consulta).

Etapa 2: verificar as permissões e configurações

1. No console do Google Cloud , acesse a página IAM.

   Acessar IAM

2. Se necessário, selecione o projeto da instância listada no campo projectId no JSON de descoberta (da Etapa 1).

3. Na página exibida, na caixa Filtro, insira o endereço de e-mail listado na linha E-mail principal na guia Resumo dos detalhes da descoberta (da Etapa 1). Verifique quais permissões estão atribuídas à conta.

Etapa 3: verificar os registros

1. No console do Google Cloud , acesse o Explorador de registros clicando no link em URI do Cloud Logging (da Etapa 1). A página Explorador de registros inclui todos os registros relacionados à instância relevante do Cloud SQL.

Etapa 4: pesquisar métodos de ataque e resposta

1. Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Exfiltração por serviço da Web: exfiltração para o Cloud Storage.
2. Clique no link da linha Descobertas relacionadas descrita na Etapa 1 para revisar as descobertas relacionadas. As descobertas relacionadas têm o mesmo tipo de descoberta na mesma instância do Cloud SQL.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato a pessoa a quem o projeto pertence com dados exfiltrado.
• Considere revogar as permissões de access.principalEmail até que a investigação seja concluída.
• Para interromper a exfiltração ainda mais, adicione políticas restritivas do IAM às instâncias afetadas do Cloud SQL.
  • MySQL
  • PostgreSQL
  • SQL Server
• Para limitar o acesso e a exportação da API Cloud SQL Admin, use o VPC Service Controls.
• Para identificar e corrigir papéis excessivamente permissivos, use o Recomendador do IAM.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.