Exfiltração: concessão privilegiada demais do Cloud SQL

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Todos os privilégios sobre um banco de dados PostgreSQL (ou todas as funções ou procedimentos em um banco de dados) foram concedidos a um ou mais usuários de banco de dados.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

  1. Abra uma descoberta Exfiltration: Cloud SQL Over-Privileged Grant, conforme instruído em Como verificar descobertas.

  2. Na guia Resumo do painel de detalhes da descoberta, revise as informações nas seguintes seções:

    • O que foi detectado, especialmente os seguintes campos:
      • Nome de exibição do banco de dados: o nome do banco de dados na instância do PostgreSQL do Cloud SQL que foi afetada.
      • Nome de usuário do banco de dados: o usuário do PostgreSQL que concedeu privilégios demais.
      • Consulta do banco de dados: a consulta do PostgreSQL executada que concedeu os privilégios.
      • Beneficiários do banco de dados: os beneficiários dos privilégios excessivos.
    • Recurso afetado, especialmente os seguintes campos:
      • Nome completo do recurso: o nome do recurso da instância do PostgreSQL do Cloud SQL que foi afetado.
      • Nome completo do pai: o nome do recurso da instância do PostgreSQL do Cloud SQL.
      • Nome completo do projeto: o projeto Google Cloud que contém a instância do PostgreSQL do Cloud SQL.
    • Links relacionados, principalmente os seguintes campos:
      • URI do Cloud Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

  3. Para ver o JSON completo da descoberta, clique na guia JSON.

Etapa 2: analisar os privilégios do banco de dados

  1. Conecte-se ao banco de dados PostgreSQL.
  2. Liste e mostre privilégios de acesso para o seguinte:
    • Bancos de dados. Use o metacomando \l ou \list e verifique quais privilégios são atribuídos ao banco de dados listado em Nome de exibição do banco de dados (na Etapa 1).
    • Funções ou procedimentos. Use o metacomando \df e verifique quais privilégios são atribuídos a funções ou procedimentos no banco de dados listado em Nome de exibição do banco de dados (na Etapa 1).

Etapa 3: verificar os registros

  1. No console do Google Cloud , acesse o Explorador de registros clicando no link em URI do Cloud Logging (da Etapa 1). A página Explorador de registros inclui todos os registros relacionados à instância relevante do Cloud SQL.
  2. No Explorador de registros, verifique os registros pgaudit do PostgreSQL, que registram consultas executadas no banco de dados, usando os seguintes filtros:
    • protoPayload.request.database="var class="edit">database"

Etapa 4: pesquisar métodos de ataque e resposta

  1. Revise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Exfiltration Over Web Service (Exfiltração sobre o serviço da Web).
  2. Para determinar se outras etapas de correção são necessárias, combine seus resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

  • Entre em contato com o proprietário da instância com concessões privilegiadas em excesso.
  • Considere revogar todas as permissões dos usuários listados em Beneficiários do banco de dados até que a investigação seja concluída.
  • Para limitar o acesso ao banco de dados (no Nome de exibição do banco de dados da Etapa 1), revogue permissões desnecessárias dos beneficiários (em Beneficiários do banco de dados da Etapa 1).

A seguir