Eskalasi Akses: Pemberian Hak Berlebih AlloyDB

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Semua hak istimewa atas database AlloyDB untuk PostgreSQL (atau semua fungsi atau prosedur dalam database) diberikan kepada satu atau beberapa pengguna database.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: AlloyDB Over-Privileged Grant seperti yang diarahkan dalam Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama tampilan database: nama database di instance AlloyDB untuk PostgreSQL yang terpengaruh.
     • Nama pengguna database: pengguna PostgreSQL yang memberikan hak istimewa berlebih.
     • Kueri database: kueri PostgreSQL yang dijalankan dan memberikan hak istimewa.
     • Penerima akses database: penerima akses hak istimewa yang terlalu luas.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource instance AlloyDB untuk PostgreSQL yang terpengaruh.
     • Nama lengkap induk: nama resource instance AlloyDB untuk PostgreSQL.
     • Nama lengkap project: project Google Cloud yang berisi instance AlloyDB untuk PostgreSQL.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.

3. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Tinjau hak istimewa database

1. Hubungkan ke instance AlloyDB untuk PostgreSQL.
2. Mencantumkan dan menampilkan hak istimewa akses untuk hal berikut:
   • Database. Gunakan metacommand \l atau \list dan periksa hak istimewa yang ditetapkan untuk database yang tercantum di Nama tampilan database (dari Langkah 1).
   • Fungsi atau prosedur. Gunakan metaperintah \df dan periksa hak istimewa yang ditetapkan untuk fungsi atau prosedur dalam database yang tercantum di Nama tampilan database (dari Langkah 1).

Langkah 3: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer mencakup semua log yang terkait dengan instance Cloud SQL yang relevan.
2. Di Logs Explorer, periksa log pgaudit PostgreSQL, yang mencatat kueri yang dijalankan ke database, dengan menggunakan filter berikut:
   • protoPayload.request.database="var class="edit">database"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltrasi Melalui Layanan Web.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik instance dengan pemberian hak istimewa berlebih.
• Pertimbangkan untuk mencabut semua izin untuk penerima hibah yang tercantum di Penerima hibah database hingga penyelidikan selesai.
• Untuk membatasi akses ke database (dari Nama tampilan database Langkah 1), cabut izin yang tidak perlu dari penerima hibah (dari Penerima hibah database Langkah 1).

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.