Acesso a credenciais: falha no login do CloudDB de um IP de proxy de anonimização
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por
detectores de ameaças quando eles detectam
uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
Ocorreu uma falha de login em uma instância de banco de dados de um endereço IP de anonimização conhecido. Esses endereços de anonimização são nós do Tor. Isso pode indicar que um
invasor está tentando acessar sua instância sem autorização.
Como responder
Para responder a essa descoberta, faça o seguinte:
Etapa 1: verificar os detalhes da descoberta
Abra uma descoberta
Credential Access: CloudDB Failed login from Anonymizing Proxy IP, conforme direcionado em Como verificar descobertas.
Na guia Resumo do painel de detalhes da descoberta, revise as informações nas seguintes seções:
O que foi detectado, especialmente os seguintes campos:
Endereço IP do indicador, o endereço IP de anonimização.
Nome de exibição do banco de dados: o nome do banco de dados na
instância do PostgreSQL, MySQL ou AlloyDB do Cloud SQL que foi afetada.
Nome de usuário do banco de dados: o usuário.
Nome completo do projeto: o projeto do Google Cloud que contém
a instância do Cloud SQL.
Etapa 2: pesquisar métodos de ataque e resposta
Analise a entrada do framework do MITRE ATT&CK para esse tipo de descoberta:
Acesso a credenciais.
Para determinar se outras etapas de correção são necessárias, combine seus
resultados da investigação com a pesquisa do
MITRE.
Etapa 3: implementar a resposta
O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações.
Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de
resolver as descobertas.
Analise os usuários autorizados a se conectar ao banco de dados.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-05 UTC."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nA failed login occurred in a database instance from a known anonymizing IP\naddress. These anonymizing addresses are Tor nodes. This could indicate an\nattacker attempting unauthorized access to your instance.\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open an `Credential Access: CloudDB Failed login from Anonymizing Proxy IP` finding, as directed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings).\n2. On the **Summary** tab of the finding details panel, review the\n information in the following sections:\n\n - **What was detected**, especially the following fields:\n - **Indicator IP address**, the anonymizing ip address.\n - **Database display name**: the name of the database in the Cloud SQL PostgreSQL, MySQL or AlloyDB instance that was affected.\n - **Database user name**: the user.\n - **Project full name**: the Google Cloud project that contains the Cloud SQL instance.\n\nStep 2: Research attack and response methods\n\n1. Review the MITRE ATT\\&CK framework entry for this finding type: [Credential Access](https://attack.mitre.org/techniques/T1110/).\n2. To determine if additional remediation steps are necessary, combine your investigation results with MITRE research.\n\nStep 3: Implement your response\n\n\nThe following response plan might be appropriate for this finding, but might also impact operations.\nCarefully evaluate the information you gather in your investigation to determine the best way to\nresolve findings.\n\n- Review the users allowed to connect to the database.\n\n - For PostgreSQL, see [Create and manage users](/sql/docs/postgres/create-manage-users)\n - For MySQL, see [Manage users with built-in authentication](/sql/docs/mysql/create-manage-users)\n- Consider changing the password for the user.\n\n - For PostgreSQL, see [Set the password for the default user](/sql/docs/postgres/create-manage-users#user-root)\n - For MySQL, see\n [Set the password for the default user](/sql/docs/mysql/create-manage-users#user-root)\n\n - Update the credentials for the clients that connect to the Cloud SQL instance\n\n- Review network access to you instance\n\n - For PostgreSQL, see [Set the password for the default user](/sql/docs/postgres/create-manage-users#user-root)\n - For MySQL, see [Set the password for the default user](/sql/docs/mysql/create-manage-users#user-root)\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
