Accesso con credenziali: accesso a CloudDB non riuscito dall'IP del proxy con anonimizzazione

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Si è verificato un accesso non riuscito in un'istanza del database da un indirizzo IP con anonimizzazione noto. Questi indirizzi di anonimizzazione sono nodi Tor. Ciò potrebbe indicare che un malintenzionato sta tentando di accedere alla tua istanza senza autorizzazione.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri un risultato Credential Access: CloudDB Failed login from Anonymizing Proxy IP come indicato in Revisione dei risultati.

2. Nella scheda Riepilogo del riquadro dei dettagli del risultato, esamina le informazioni nelle seguenti sezioni:

   • Che cosa è stato rilevato, in particolare i seguenti campi:
   • Indirizzo IP indicatore, l'indirizzo IP di anonimizzazione.
   • Nome visualizzato del database: il nome del database nell'istanza Cloud SQL PostgreSQL, MySQL o AlloyDB interessata.
   • Nome utente database: l'utente.
   • Nome completo del progetto: il progetto Google Cloud che contiene l'istanza di Cloud SQL.

Passaggio 2: ricerca di metodi di attacco e risposta

1. Consulta la voce del framework MITRE ATT&CK per questo tipo di risultato: Accesso alle credenziali.
2. Per determinare se sono necessari ulteriori passaggi di correzione, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 3: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

• Esamina gli utenti autorizzati a connettersi al database.

  • Per PostgreSQL, consulta Creare e gestire gli utenti
  • Per MySQL, vedi Gestisci gli utenti con l'autenticazione integrata

• Valuta la possibilità di modificare la password dell'utente.

  • Per PostgreSQL, vedi Impostare la password per l'utente predefinito

  • Per MySQL, vedi Impostare la password per l'utente predefinito

  • Aggiorna le credenziali per i client che si connettono all'istanza Cloud SQL

• Controllare l'accesso di rete all'istanza

  • Per PostgreSQL, vedi Impostare la password per l'utente predefinito
  • Per MySQL, vedi Impostare la password per l'utente predefinito

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.