Diese Seite wurde von der Cloud Translation API übersetzt.

Erstzugriff: CloudDB: Erfolgreiche Anmeldung über IP-Adresse des Anonymisierungs-Proxys

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Eine erfolgreiche Anmeldung in einer Datenbankinstanz erfolgte über eine bekannte anonymisierende IP-Adresse. Diese Anonymisierungsadressen sind Tor-Knoten. Dies könnte darauf hindeuten, dass ein Angreifer sich zum ersten Mal Zugriff auf Ihre Instanz verschafft hat.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie ein Initial Access: CloudDB Successful login from Anonymizing Proxy IP-Ergebnis, wie unter Ergebnisse prüfen beschrieben.
Sehen Sie sich im Bereich „Ergebnisdetails“ auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:
- Was wurde erkannt?, insbesondere die folgenden Felder:
- Indikator-IP-Adresse: Die anonymisierende IP-Adresse.
- Anzeigename der Datenbank: Der Name der Datenbank in der betroffenen Cloud SQL PostgreSQL-, MySQL- oder AlloyDB-Instanz.
- Nutzername der Datenbank: der Nutzer.
- Vollständiger Projektname: Das Google Cloud Projekt, das die Cloud SQL-Instanz enthält.

Schritt 2: Angriffs- und Reaktionsmethoden untersuchen

Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Initial Access.
Um festzustellen, ob zusätzliche Schritte zur Abhilfe erforderlich sind, kombinieren Sie Ihre Untersuchungsergebnisse mit der MITRE-Forschung.

Schritt 3: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Prüfen Sie, welche Nutzer sich mit der Datenbank verbinden dürfen.
- Informationen zu PostgreSQL finden Sie unter Nutzer erstellen und verwalten.
- Informationen zu MySQL finden Sie unter Nutzer mit integrierter Authentifizierung verwalten.
Ändern Sie das Passwort des Nutzers.
- Informationen zu PostgreSQL finden Sie unter Passwort für den Standardnutzer festlegen.
- Informationen zu MySQL finden Sie unter Passwort für den Standardnutzer festlegen.
- Anmeldedaten für die Clients aktualisieren, die eine Verbindung zur Cloud SQL-Instanz herstellen

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren