Acceso inicial: inicio de sesión correcto en CloudDB desde una IP de proxy anonimizador

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Se ha iniciado sesión correctamente en una instancia de base de datos desde una dirección IP de anonimización conocida. Estas direcciones de anonimización son nodos de Tor. Esto podría indicar que un atacante ha obtenido acceso inicial a tu instancia.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre un Initial Access: CloudDB Successful login from Anonymizing Proxy IP tal como se indica en Revisar resultados.

2. En la pestaña Resumen del panel de detalles de la detección, consulta la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
   • Dirección IP de indicador: la dirección IP anonimizada.
   • Nombre visible de la base de datos: el nombre de la base de datos de la instancia de Cloud SQL PostgreSQL, MySQL o AlloyDB afectada.
   • Nombre de usuario de la base de datos: el usuario.
   • Nombre completo del proyecto: el proyecto Google Cloud que contiene la instancia de Cloud SQL.

Paso 2: Investiga los métodos de ataque y respuesta

1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de hallazgo: Acceso inicial.
2. Para determinar si son necesarias medidas correctoras adicionales, combina los resultados de tu investigación con la investigación de MITRE.

Paso 3: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

• Revisa los usuarios que tienen permiso para conectarse a la base de datos.

  • En el caso de PostgreSQL, consulta el artículo Crear y gestionar usuarios.
  • En el caso de MySQL, consulta Gestionar usuarios con la autenticación integrada.

• Te recomendamos que cambies la contraseña del usuario.

  • En el caso de PostgreSQL, consulta Definir la contraseña del usuario predeterminado.

  • En el caso de MySQL, consulta Definir la contraseña del usuario predeterminado.

  • Actualiza las credenciales de los clientes que se conectan a la instancia de Cloud SQL

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.