Exfiltration: Cloud SQL Überprivilegierte Berechtigung

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Einem oder mehreren Datenbanknutzern wurden alle Berechtigungen für eine PostgreSQL-Datenbank (oder alle Funktionen oder Prozeduren in einer Datenbank) gewährt.

Event Threat Detection ist die Quelle dieses Ergebnisses.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie das Exfiltration: Cloud SQL Over-Privileged Grant-Ergebnis, wie unter Ergebnisse prüfen beschrieben.

2. Sehen Sie sich im Bereich „Ergebnisdetails“ auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was wurde erkannt?, insbesondere die folgenden Felder:
     • Anzeigename der Datenbank: Der Name der Datenbank in der betroffenen Cloud SQL for PostgreSQL-Instanz.
     • Datenbanknutzername: Der PostgreSQL-Nutzer, der übermäßige Berechtigungen gewährt hat.
     • Datenbankabfrage: Die ausgeführte PostgreSQL-Abfrage, mit der die Berechtigungen erteilt wurden.
     • Empfänger von Datenbanken: die Empfänger der zu weit gefassten Berechtigungen.
   • Betroffene Ressource, insbesondere die folgenden Felder:
     • Vollständiger Ressourcenname: Der Ressourcenname der betroffenen Cloud SQL for PostgreSQL-Instanz.
     • Vollständiger Name des übergeordneten Elements: Der Ressourcenname der Cloud SQL for PostgreSQL-Instanz.
     • Vollständiger Projektname: das Google Cloud Projekt, das die Cloud SQL PostgreSQL-Instanz enthält.
   • Weitere Informationen, insbesondere die folgenden Felder:
     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

3. Klicken Sie auf den Tab JSON, um das vollständige JSON für das Ergebnis aufzurufen.

Schritt 2: Datenbankberechtigungen prüfen

1. Verbindung zur PostgreSQL-Datenbank herstellen
2. Zugriffsberechtigungen auflisten und anzeigen für Folgendes:
   • Datenbanken. Verwenden Sie den Metacommand \l oder \list und prüfen Sie, welche Berechtigungen für die Datenbank zugewiesen sind, die unter Anzeigename der Datenbank (aus Schritt 1) aufgeführt ist.
   • Funktionen oder Prozeduren. Verwenden Sie den Metacommand \df und prüfen Sie, welche Berechtigungen für Funktionen oder Prozeduren in der Datenbank zugewiesen sind, die in Anzeigename der Datenbank (aus Schritt 1) aufgeführt ist.

Schritt 3: Protokolle prüfen

1. Rufen Sie in der Google Cloud Console den Log-Explorer auf. Klicken Sie dazu auf den Link im Cloud Logging-URI (aus Schritt 1). Die Seite Log-Explorer enthält alle Logs, die sich auf die relevante Cloud SQL-Instanz beziehen.
2. Prüfen Sie im Log-Explorer die PostgreSQL-pgaudit-Logs, in denen ausgeführte Abfragen an die Datenbank aufgezeichnet werden. Verwenden Sie dazu die folgenden Filter:
   • protoPayload.request.database="var class="edit">database"

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Exfiltration Over Web Service.
2. Um festzustellen, ob zusätzliche Schritte zur Abhilfe erforderlich sind, kombinieren Sie Ihre Untersuchungsergebnisse mit der MITRE-Forschung.

Schritt 5: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

• Wenden Sie sich an den Inhaber der Instanz mit überprivilegierten Berechtigungen.
• Ziehen Sie in Betracht, alle Berechtigungen für die Empfänger, die unter Datenbankempfänger aufgeführt sind, zu widerrufen, bis die Untersuchung abgeschlossen ist.
• Um den Zugriff auf die Datenbank (aus Anzeigename der Datenbank in Schritt 1) zu beschränken, widerrufen Sie unnötige Berechtigungen von den Berechtigten (aus Berechtigte für die Datenbank in Schritt 1).

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren