このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。
概要
PostgreSQL データベースに対するすべての権限(またはデータベース内のすべての関数またはプロシージャ)が 1 人以上のデータベース ユーザーに付与されています。
対処方法
この検出結果に対応する手順は次のとおりです。
ステップ 1: 検出結果の詳細を確認する
- 検出結果の確認の説明に従って、
Exfiltration: Cloud SQL Over-Privileged Grantの検出結果を開きます。 検出結果の詳細パネルの [概要] タブで、次のセクションの情報を確認します。
- 検出された内容(特に次のフィールド):
- データベース表示名: 影響を受けた Cloud SQL PostgreSQL インスタンスのデータベース名。
- データベースのユーザー名: 過剰な権限を付与した PostgreSQL ユーザー。
- データベース クエリ: 実行され、権限が付与された PostgreSQL クエリ。
- データベース譲受人: 過剰な権限の譲受人。
- 影響を受けているリソース(特に次のフィールド):
- リソースの完全な名前: 影響を受けた Cloud SQL PostgreSQL インスタンスのリソース名。
- 親の完全な名前: Cloud SQL PostgreSQL インスタンスのリソース名。
- プロジェクトのフルネーム: Cloud SQL PostgreSQL インスタンスを含む Google Cloud プロジェクト。
- 関連リンク(特に次のフィールド):
- Cloud Logging URI: Logging エントリへのリンク。
- MITRE ATT&CK 方式: MITRE ATT&CK ドキュメントへのリンク。
- 関連する検出結果: 関連する検出結果へのリンク。
- 検出された内容(特に次のフィールド):
検出結果の完全な JSON を表示するには、[JSON] タブをクリックします。
ステップ 2: データベース権限を確認する
ステップ 3: ログを確認する
- Google Cloud コンソールで、Cloud Logging の URI のリンク(ステップ 1 を参照)をクリックして、[ログ エクスプローラ] に移動します。[ログ エクスプローラ] ページに、該当する Cloud SQL インスタンスに関するすべてのログが表示されます。
- [ログ エクスプローラ] で次のフィルタを使用して、データベースに対して実行されたクエリを記録する、PostgreSQL
pgauditログを確認します。protoPayload.request.database="var class="edit">database"
ステップ 4: 攻撃とレスポンスの手法を調査する
- この検出結果タイプに対応する MITRE ATT&CK フレームワーク エントリ(Exfiltration Over Web Service)を確認します。
- 追加の修復手順が必要かどうかを判断するために、調査結果を MITRE の調査と組み合わせます。
ステップ 5: レスポンスを実装する
次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。
- 過剰な権限が付与されたインスタンスのオーナーに連絡してください。
- 調査が完了するまでは、[データベース譲受人] に表示されている譲受人のすべての権限を取り消すことを検討してください。
- データベース(ステップ 1 の [データベースの表示名])へのアクセスを制限するには譲受人(ステップ 1 の [データベース譲受人])から不要な権限を取り消します。
次のステップ
- Security Command Center で脅威の検出結果を操作する方法を学習する。
- 脅威の検出結果のインデックスを確認する。
- Google Cloud コンソールで検出結果を確認する方法を学習する。
- 脅威の検出結果を生成するサービスについて学習する。