Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Ocorreu uma tentativa de início de sessão falhada numa instância da base de dados a partir de um endereço IP de anonimização conhecido. Estes endereços de anonimização são nós do Tor. Isto pode indicar que um atacante está a tentar aceder à sua instância sem autorização.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
Passo 1: reveja os detalhes da descoberta
- Abra uma
Credential Access: CloudDB Failed login from Anonymizing Proxy IPdescoberta, conforme indicado em Rever descobertas. No separador Resumo do painel de detalhes da descoberta, reveja as informações nas secções seguintes:
- O que foi detetado, especialmente os seguintes campos:
- O endereço IP do indicador, o endereço IP de anonimização.
- Nome a apresentar da base de dados: o nome da base de dados na instância do Cloud SQL PostgreSQL, MySQL ou AlloyDB que foi afetada.
- Nome de utilizador da base de dados: o utilizador.
- Nome completo do projeto: o Google Cloud projeto que contém a instância do Cloud SQL.
Passo 2: pesquise métodos de ataque e resposta
- Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Acesso a credenciais.
- Para determinar se são necessários passos de remediação adicionais, combine os resultados da sua investigação com a investigação da MITRE.
Passo 3: implemente a sua resposta
O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.
Reveja os utilizadores autorizados a estabelecer ligação à base de dados.
- Para o PostgreSQL, consulte o artigo Crie e faça a gestão de utilizadores
- Para o MySQL, consulte o artigo Faça a gestão de utilizadores com a autenticação incorporada
Considere alterar a palavra-passe do utilizador.
- Para o PostgreSQL, consulte o artigo Defina a palavra-passe do utilizador predefinido
Para o MySQL, consulte o artigo Defina a palavra-passe do utilizador predefinido
Atualize as credenciais dos clientes que se ligam à instância do Cloud SQL
Reveja o acesso à rede da sua instância
- Para o PostgreSQL, consulte o artigo Defina a palavra-passe do utilizador predefinido
- Para o MySQL, consulte o artigo Defina a palavra-passe do utilizador predefinido
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.