Accès aux identifiants : échec de la connexion à CloudDB depuis l'adresse IP du proxy d'anonymisation

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Une tentative de connexion à une instance de base de données a échoué depuis une adresse IP d'anonymisation connue. Ces adresses d'anonymisation sont des nœuds Tor. Cela peut indiquer qu'un pirate informatique tente d'accéder à votre instance sans autorisation.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez un résultat Credential Access: CloudDB Failed login from Anonymizing Proxy IP, comme indiqué dans la section Examiner les résultats.

2. Dans l'onglet Récapitulatif du panneau "Détails du résultat", examinez les informations des sections suivantes :

   • Risque détecté, en particulier les champs suivants :
   • Adresse IP de l'indicateur : adresse IP anonymisée.
   • Nom à afficher de la base de données : nom de la base de données dans l'instance Cloud SQL PostgreSQL, MySQL ou AlloyDB concernée.
   • Nom d'utilisateur de la base de données : l'utilisateur.
   • Nom complet du projet : projet Google Cloud contenant l'instance Cloud SQL.

Étape 2 : Étudier les méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Accès aux identifiants.
2. Pour déterminer si d'autres mesures correctives sont nécessaires, combinez vos résultats d'enquête avec la recherche MITRE.

Étape 3 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

• Examinez les utilisateurs autorisés à se connecter à la base de données.

  • Pour PostgreSQL, consultez Créer et gérer des utilisateurs.
  • Pour MySQL, consultez Gérer les utilisateurs avec l'authentification intégrée.

• Envisagez de modifier le mot de passe de l'utilisateur.

  • Pour PostgreSQL, consultez Définir le mot de passe de l'utilisateur par défaut.

  • Pour MySQL, consultez Définir le mot de passe de l'utilisateur par défaut.

  • Mettez à jour les identifiants des clients qui se connectent à l'instance Cloud SQL.

• Vérifier l'accès réseau à votre instance

  • Pour PostgreSQL, consultez Définir le mot de passe de l'utilisateur par défaut.
  • Pour MySQL, consultez Définir le mot de passe de l'utilisateur par défaut.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces