初始存取權：資料庫超級使用者寫入使用者資料表

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

Cloud SQL 資料庫超級使用者帳戶 (PostgreSQL 為 postgres，MySQL 為 root) 寫入使用者資料表。超級使用者 (具備非常廣泛存取權的角色) 一般不應寫入使用者資料表。平時應使用存取權較有限的使用者帳戶。如果超級使用者寫入使用者資料表，可能表示攻擊者已提升權限或竊取了預設資料庫使用者的身分，然後修改資料。也可能表示做法正常，但並不安全。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的說明，開啟 Initial Access: Database Superuser Writes to User Tables 發現項目。

2. 在調查結果詳細資料面板的「摘要」分頁中，查看下列各節的資訊：

   • 偵測到的內容，特別是下列欄位：
     • 資料庫顯示名稱：受影響的 Cloud SQL PostgreSQL 或 MySQL 執行個體中的資料庫名稱。
     • 資料庫使用者名稱：超級使用者。
     • 資料庫查詢：寫入使用者資料表時執行的 SQL 查詢。
   • 受影響的資源，尤其是下列欄位：
     • 資源完整名稱：受影響的 Cloud SQL 執行個體資源名稱。
     • 父項完整名稱：Cloud SQL 執行個體的資源名稱。
     • 專案完整名稱：包含 Cloud SQL 執行個體的 Google Cloud 專案。
   • 相關連結，尤其是下列欄位：
     • Cloud Logging URI：記錄檔項目的連結。
     • MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。
     • 相關發現項目：任何相關發現項目的連結。

3. 如要查看調查結果的完整 JSON，請按一下「JSON」分頁標籤。

步驟 2：檢查記錄

1. 前往 Google Cloud 控制台的「Logs Explorer」，方法是點選 cloudLoggingQueryURI 中的連結 (如步驟 1 所示)。「記錄檔探索工具」頁面會列出與相關 Cloud SQL 執行個體有關的所有記錄。
2. 使用下列篩選條件，檢查 PostgreSQL pgaudit 記錄或 MySQL 適用的 Cloud SQL 稽核記錄，其中包含超級使用者執行的查詢：
   • protoPayload.request.user="SUPERUSER"

步驟 3：研究攻擊和回應方法

1. 查看這類發現項目的 MITRE ATT&CK 架構項目： 透過網路服務進行資料外洩。
2. 如要判斷是否需要採取其他補救措施，請將調查結果與 MITRE 研究結合。

步驟 4：實作回應

下列回應計畫可能適用於這項發現，但也可能影響作業。 請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。

• 查看允許連線至資料庫的使用者。

  • 如為 PostgreSQL，請參閱「建立及管理使用者」一文
  • 如為 MySQL，請參閱「運用內建驗證機制管理使用者」一文

• 建議變更超級使用者的密碼。

  • 如為 PostgreSQL，請參閱「設定預設使用者的密碼」一文
  • 如為 MySQL，請參閱「設定預設使用者的密碼」

• 建議您為執行個體使用的不同類型查詢，建立新的有限存取權使用者。

  • 僅授予新使用者執行查詢所需的必要權限。

    • 如為 PostgreSQL，請參閱「GRANT (command)」
    • 如為 MySQL，請參閱「存取權控管和帳戶管理」

  • 更新連線至 Cloud SQL 執行個體的用戶端憑證

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。