Esta página se ha traducido con Cloud Translation API.

Exfiltración: concesión de privilegios excesivos de Cloud SQL

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Se han concedido todos los privilegios sobre una base de datos PostgreSQL (o todas las funciones o procedimientos de una base de datos) a uno o varios usuarios de la base de datos.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

Abre la Exfiltration: Cloud SQL Over-Privileged Grant detección siguiendo las instrucciones de la sección Revisar las detecciones.
En la pestaña Resumen del panel de detalles de la detección, consulta la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
  - Nombre visible de la base de datos: el nombre de la base de datos de la instancia de Cloud SQL PostgreSQL afectada.
  - Nombre de usuario de la base de datos: el usuario de PostgreSQL que ha concedido privilegios excesivos.
  - Consulta de base de datos: consulta de PostgreSQL ejecutada que ha concedido los privilegios.
  - Usuarios con acceso concedido a base de datos: los usuarios a los que se han concedido privilegios demasiado amplios.
- Recurso afectado, especialmente los siguientes campos:
  - Nombre completo del recurso: el nombre del recurso de la instancia de Cloud SQL PostgreSQL que se ha visto afectada.
  - Nombre completo del elemento superior: nombre del recurso de la instancia de Cloud SQL PostgreSQL.
  - Nombre completo del proyecto: el Google Cloud proyecto que contiene la instancia de Cloud SQL PostgreSQL.
- Enlaces relacionados, especialmente los siguientes campos:
  - URI de Cloud Logging: enlace a las entradas de registro.
  - Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
  - Hallazgos relacionados: enlaces a los hallazgos relacionados.
Para ver el JSON completo de la detección, haga clic en la pestaña JSON.

Paso 2: Revisa los privilegios de la base de datos

Conéctate a la base de datos PostgreSQL.
Lista y muestra los privilegios de acceso de lo siguiente:
- Bases de datos. Usa el metacommando \l o \list y comprueba qué privilegios se han asignado a la base de datos que aparece en Nombre visible de la base de datos (del paso 1).
- Funciones o procedimientos. Usa el metacomando \df y comprueba qué privilegios se han asignado a las funciones o los procedimientos de la base de datos que aparece en Nombre visible de la base de datos (del paso 1).

Paso 3: Consulta los registros

En la Google Cloud consola, ve a Explorador de registros haciendo clic en el enlace de URI de Cloud Logging (del paso 1). La página Explorador de registros incluye todos los registros relacionados con la instancia de Cloud SQL correspondiente.
En el explorador de registros, consulta los registros de pgaudit PostgreSQL, que registran las consultas ejecutadas en la base de datos, mediante los siguientes filtros:
- protoPayload.request.database="var class="edit">database"

Paso 4: Investiga los métodos de ataque y respuesta

Consulta la entrada del framework ATT&CK de MITRE para este tipo de resultado: Exfiltración a través de un servicio web.
Para determinar si son necesarias medidas correctoras adicionales, combina los resultados de tu investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

Ponte en contacto con el propietario de la instancia con concesiones de privilegios excesivos.
Considera la posibilidad de revocar todos los permisos de los beneficiarios que aparecen en Beneficiarios de la base de datos hasta que se complete la investigación.
Para limitar el acceso a la base de datos (desde Nombre visible de la base de datos del paso 1), revoca los permisos innecesarios de los beneficiarios (desde Beneficiarios de la base de datos del paso 1).

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.